Africa-Press – Togo. Lors de son dernier bilan annuel des cybermenaces, fin janvier, le Clusif, association française de professionnels de la cybersécurité, accordait une place notable aux dangers que fait peser l’intelligence artificielle (IA). Cela va du code malveillant écrit par un modèle de langage (LLM) à l’injection d’instructions cachées dans un mail, invisibles par l’utilisateur mais lisibles par un outil d’IA conçu pour traiter les messages électroniques et qui, de fait, va libérer un virus.
Néanmoins, l’IA se révèle aussi être une « précieuse alliée au quotidien » pour les experts en cybersécurité, selon Gérôme Billois, spécialiste du sujet au cabinet Wavestone et intervenant au Clusif. Mi-septembre 2024, une équipe de Google a ainsi découvert 26 failles logicielles, dont une dans les outils de chiffrement des communications OpenSSL, à l’aide de modèles de langage.
Ces derniers ont opéré en poussant plus loin que ne le font les testeurs humains le « fuzzing », c’est-à-dire la multiplication des scénarios d’attaque contre un programme. Le mois suivant, une autre équipe de Google a identifié une vulnérabilité dans le moteur de base de données SQLite en utilisant le LLM Big Sleep, développé à cet effet. Plus de 150 heures de fuzzing traditionnel n’avaient révélé aucun bug.
Fuzzing
En cybersécurité, le fuzzing est une méthode de test par laquelle on envoie à un logiciel toutes sortes de données mal adaptées, tronquées, inattendues et plus ou moins aléatoires, de manière à rendre difficile leur traitement. Le but est de pousser le logiciel dans ses limites et révéler d’éventuelles failles. Cette pratique prend beaucoup de temps. Le fuzzing assisté par IA permet non seulement de multiplier les attaques, mais aussi de faire apprendre à un algorithme lesquelles fonctionnent. Sur cette base, il va pouvoir lancer toutes les variantes possibles d’une attaque réussie. C’est un bon moyen de savoir comment corriger un programme. L’inconvénient est que des cybercriminels peuvent eux-mêmes procéder ainsi, avec des intentions nuisibles.
L’IA propose une règle de détection à l’analyste
Thales s’est également tourné vers les modèles de langage pour doper la réactivité de ses SOC (security operations centers), ces plateformes chargées, au sein des entreprises, de détecter et d’analyser les cybermenaces en continu, et d’y réagir. Classiquement, un SOC reçoit des rapports sur une attaque en cours, sur la modification de tel programme malveillant, sur la découverte d’une vulnérabilité dans un logiciel, etc. Les SOC doivent trier tout cela, retenir ce qui est pertinent pour eux et définir de nouvelles règles de sécurité en conséquence. Ce qui implique un gros travail de documentation, de contextualisation, de comparaison avec des règles existantes.
Ce processus prend entre un et cinq jours en fonction de la complexité de la menace. « C’est un temps durant lequel on est au courant de la menace mais sans être capable d’y répondre, de proposer une défense au client « , note Pierre-Élisée Flory, ingénieur de recherche chez Thales, au sein de l’équipe cortAIx. D’où le développement d’un agent conversationnel capable, quand un bulletin de sécurité arrive, de dégrossir le travail à partir d’un prompt automatique déjà prêt. « L’IA va faire des requêtes à des sources internes et externes, voir si dans la base de règles existantes certaines peuvent s’appliquer à la nouvelle menace, faire le travail de contextualisation, pour proposer une règle de détection que l’analyste peut modifier « , poursuit l’ingénieur. Cette fois, quelques minutes voire secondes suffisent.
L’IA fournit les sources, l’explication de la stratégie adoptée, des exemples de règles utilisées pour rédiger la nouvelle, etc., de manière à permettre à l’analyste de comprendre tout le cheminement logique. « L’IA n’est que force de proposition, pas décideuse, insiste Christophe Meyer, directeur technique de cortAIx. La procédure de validation finale qui dit ‘oui, cette règle-là me convient’ reste le fait d’un expert humain. »
« Avec les LLM, il devient possible de traiter et comprendre une mine de connaissances écrites par des experts pour des experts, confirme Pierre-François Gimenez, de l’équipe Pirat dédiée à la cybersécurité au centre Inria (Institut national de recherche en sciences et technologies du numérique) de Rennes. Mais c’est juste une application possible parmi beaucoup d’autres. » Au sein de Pirat, le chercheur travaille sur la détection d’intrusions, ce qui nécessite d’avoir beaucoup de données réseaux. Or, celles à disposition ne sont pas de bonne qualité, et il n’est pas question d’aller placer des sondes sur les réseaux pour en collecter.
Le projet consiste donc à générer des données par IA, comme des traces réseaux ou des logs systèmes (historiques d’événements), et s’en servir pour l’évaluation d’outils de détection. « Ces méthodes d’IA n’ont pas encore vraiment quitté les laboratoires de recherche, prévient le chercheur. La cybersécurité prend clairement cette direction mais il est encore difficile d’utiliser ces outils dans un cadre opérationnel. »
Pour plus d’informations et d’analyses sur la Togo, suivez Africa-Press
