Alors que certains clament l’importance que doit jouer l’Intelligence Artificielle dans le déconfinement, on trouve sur le Web, à l’initiative de DarkTrace® qui rappelle que le Net n’est pas un espace de confiance (lien ici), un rapport très intéressant (lien ici) "Les Attaques Renforcées par l’IA et la Bataille des Algorithmes" décrivant les conditions dans lesquelles des groupes de couards, se prenant pour des mercenaires qui ne risquent rien derrière leurs machines, utilisent l’IA pour pirater, foutre le waï et faire du fric à bon compte, sans aucune sans aucune morale jusqu’à ce que les informaticiens aient le courage, un jour, de faire le ménage chez eux.
L’article est consacré aux attaques agressives basées sur l’IA, dans un contexte où tous les outils et les éléments open source nécessaires pour mettre en œuvre une attaque basée sur l’IA existent bel et bien aujourd’hui, faciles d’accès, à la disposition de tous les médiocres, malades mentaux et salopards de toutes espèces, dont certains pourraient être organisés en « groupe de hackers professionnels » … « régi comme n’importe quelle entreprise » … « au service du plus offrant ». Ainsi, l’article prévoit « que les cyberattaques basées sur l’IA ne sont plus à quelques années de nous, mais qu’elles apparaîtront manifestement dans un futur proche ».
Dans un premier temps, les auteurs documentent le cycle de vie d’une attaque standard, en montrant comment les outils de l’IA peuvent « améliorer et rationaliser le processus » … « pour gagner en efficacité ». Dans un second temps, ils détaillent « le cycle de vie complet d’une attaque basée sur l’IA ».
Ainsi, « les cybercriminels exploiteront l’IA pour générer des attaques personnalisées, très ciblées et difficiles à détecter » et « L’IA supprimera la dimension humaine de l’attaque, ce qui compliquera l’identification des auteurs » obligeant les organisations à « devoir utiliser des outils de défense basés sur l’IA capables de lutter contre cette nouvelle génération d’attaques en utilisant les mêmes méthodes ». Malheureusement, autant les cyberdélinquants, qui n’ont que ça à faire et le font par dérangement des tuyaux neuronaux, sont en avance, autant les cyberdéfenseurs sont, si l’on comprend bien le propos, littéralement « à la rue ».
L’anatomie standard d’une attaque actuelle demande aux pirates beaucoup de prudence. On peut décrire une suite d’étapes plus ou moins complexes et efficaces.
Étape 1 : Récupération d’informations à grande échelle sur les réseaux sociaux, grâce à des faux profils pendant une phase de reconnaissance qui dure plusieurs semaines. Les cibles sont identifiées manuellement ou semi-automatiquement et les pirates entreprennent une phase d’approche, en devenant amis avec certains acteurs de la cible et récolter des informations à leur sujet. Simultanément, une analyse de la victime détermine les vecteurs d’attaque potentiels grâce à une panoplie d’outils et d’algorithmes, par exemple pour casser les capcha ou mots de passe. Étape 2 : Envoi d’e-mail d’hameçonnage ciblé à partir des informations précédentes, et contenant des documents ou messages avec des macros malveillantes. Parallèlement, on sonde activement les serveurs Web de la victime pour y trouver des vulnérabilités. Étape 3 : Si l’intrusion réussit, le malware établit un canal de commande et de contrôle (C2) qui se fond dans l’environnement en essayant d’éviter les pare-feu. Étape 4 : Récupération de mots de passe par force brute en exécutant des keyloggers et tentant de dérober les informations d’identification des administrateurs, en repérant les comptes qui utilisent des mots de passe faibles ou répétés. Étape 5 : Les informations récoltées sont utilisées pour des déplacements latéraux en utilisant les techniques Pass the Hash et Mimikatz. Les assaillants piratent ainsi une machine cliente après l’autre, en essayant de mettre la main sur des comptes aux privilèges élevés pour tenter d’accéder à de nouvelles machines d’administration. Étape 6 : Si les pirates finissent par identifier les données qu’ils cherchent, et sans trier, ils regroupent et extraient les données morceau par morceau vers leur serveur C2. Les données dérobées sont triées ensuite avec d’autres algorithmes, bien au chaud dans leurs propres machines.
On voit que les cyberattaquants risquent un échec à chaque fois et que la procédure incrémentale récupère des gigaoctets de bruits par rapport à l’information recherchée ou commandée. Le but des équipes de cybersécurité repose dont sur trois objectifs : empêcher les effractions, les détecter pour les stopper ou éventuellement les utiliser, noyer l’information pertinente dans une somme d données afin de la rendre la plus inextricable possible. La stratégie consiste donc, pour les cyberpirates, de se tourner résolument vers des cyberattaques augmentées par l’IA. Cette nouvelle génération consiste à utiliser les outils d’IA pour simplifier, automatiser et rendre indétectable chacune des étapes précédentes. On réduit ainsi le facteur de risque de se voir bloqué ou repéré, voire poursuivi, et on augmente le rendement. Étape 1 : Ce sont des chatbots qui deviennent amis avec la personne par qui l’effraction se fera, et qui a été déterminée par big data. Ces bots calculent les types de profils recherchés parmi les dizaines (ou centaines) d’employés ainsi bernés, croyant de bonne foi être en relation avec des personnes, par exmple des lcients, des fournisseurs ou des collègues. Des profils et des photos ont créés par une IA en fonction des attentes et des affinités des personnes cibles. Les outils de résolution automatique de captcha seraient utilisés pour la reconnaissance automatisée d’images sur les sites Web des victimes. Étape 2 : L’hameçonnage est ciblé par rapport aux renseignements des bots pour des attaques convaincantes, avec des tweets réalistes pour de nombreux employés dont l’un au moins téléchargerait des documents infectés, ou renfermant des liens vers des serveurs d’attaque à l’aide d’algorithmes d’exploit kits. Le classement par IApeut tenir compte de toutes les informations historiques, en apprenant de mieux en mieux avec le temps (deep learning). Un moteur de fuzzing autonome pourrait alors parcourir en permanence le périmètre de la victime pour découvrir de nouvelles vulnérabilités, et cela de manière suffisamment courte pour disparaître et ne pas laisser de trace après que le crawler trouve le nouvel actif et pour que le moteur de fuzzing découvre une vulnérabilité exploitable. Étape 3 : Imitation de l’activité habituelle de l’entreprise Une fois que l’infection initiale lancée, par fuzzing ou par l’ingénierie sociale automatisée, le canal de C2 serait établi, en attente furtive tout en apprenant son comportement de ou des machines afin de veiller à imiter le fonctionnement d’une ou des machines non infectées. La stratégie devient alors indétectable, en se fondant dans les opérations habituelles de l’entreprise, et en utilisant les ports les plus habituels pour communiquer avec des API spécifiques sur Internet. Étape 4 : Un outil créerait une liste de mots-clés uniques en s’appuyant sur les documents et les e-mails présents sur la machine infectée et créer des permutations par machine learning supervisé à visée de piratage avancé par force brute. Étape 5 : L’identification des chemins optimaux, une fois les comptes identifiés et les mots de passe récupérés, favorise le déplacement latéral pour se rapprocher des données désirées. L’utilisation des méthodes de planification automatisées basées sur l’IA réduirait considérablement le temps requis pour atteindre la destination finale. Étape 6 : L’extraction de données peut commencer une fois que les documents cibles présélectionnés ont été acquis (par exemple reconnaissance de plans spécifiques, de notices, etc.). En même temps, On pourrait extraire des documents compromettants pouvant être utilisés ultérieurement pour du chantage ou de la déstabilisation. Les procédures étant automatisées, elles peuvent être multipliées à l’envi et conduites en parallèle, ce qui surcharge de travail les équipes de défense.
La conclusion de l’étude repose sur un constat simple : Seule l’IA peut combattre l’IA, et il devient urgent de développer des programmes de détection des signes les plus subtils d’une action pour que l’équipe de sécurité puisse couper toute communication, le temps de purger le système… ce qui est une autre stratégie pour retarder une entreprise. uant à croire en la supériorité des hommes pour se protéger ou pour défendre leur système, autant croire que les logiciels de radiologie sont médiocre par rapport à un médecin spécialiste et un Alpha Go ne battra jamais Lee Sedol.
Télécharger le rapport (ici).
