Antivirus

Comme dans de nombreux secteurs d’activité, l’intelligence artificielle et les outils d’apprentissage automatique sont à l’origine d’innovations majeures dans le domaine de la cybersécurité. En quelques années, elle a permis aux experts de renforcer considérablement leurs systèmes de défense contre les menaces informatiques. De la même manière, ces technologies peuvent représenter de redoutables armes entre les mains des cybercriminels qui peuvent s’en servir pour développer des malwares automatisés ou détourner les applications des IA défensives.

Face à la sophistication et la dangerosité des nouvelles menaces, les méthodes d’analyse traditionnelles qui reposent sur les bases de signatures de virus et de malwares connus ne suffisent plus. Depuis quelques années, les spécialistes de la cybersécurité ont recours à l’Intelligence artificielle et des technologies d’apprentissage automatique (Machine learning) pour compléter leur arsenal de défense par de l’analyse heuristique et comportementale. Ces techniques de détection proactives permettent d’améliorer le taux de détection des malwares en constante mutation dits polymorphes, ainsi que les comportements inhabituels de fichiers en exécution.

Outre la capacité de traiter d’énormes quantités de données et de réaliser des tâches répétitives sans intervention humaine, l’IA offre la possibilité d’automatiser la prévention, la détection et la remédiation des attaques. L’intelligence artificielle constitue un allié de poids pour les spécialistes de la cybersécurité, mais c’est une arme à double tranchant qui peut aussi être utilisée par les pirates pour mener des cyberattaques intelligentes et furtives. Voici quelques exemples de menaces basées sur l’IA.

Désinstallation antivirus

Des charges malveillantes dissimulées dans les applications

Les cybercriminels exploitent l’IA pour créer des malwares intelligents capables de se cacher et contourner les protections des antivirus. Ils utilisent l’IA pour dissimuler par exemple des codes malicieux au sein d’applications légitimes. Ces codes sont programmés pour s’exécuter plusieurs mois après l’installation des applications où seulement une fois qu’elles comptent un certain nombre d’utilisateurs. Cette méthode a pour objectif d’optimiser l’impact de ces attaques. La dissimulation de ces codes nécessite l'application de modèles d'IA et le détournement de clés privées pour contrôler le lieu et l'heure d'exécution du malware.

Les pirates peuvent également détourner une fonctionnalité de l’application afin qu’elle active l’IA pour exécuter des cyberattaques. Il s’agit de fonctionnalités présentes dans la plupart des applications pour smartphone comme le mode d’authentification via la reconnaissance vocale ou faciale, la géolocalisation, etc. Le système basé sur l'IA Face ID d'Apple avait par exemple été piraté de cette manière par un groupe de hackers quelques temps après son lancement. Ces malwares intelligents peuvent se cacher durant plusieurs années sans être détectés. Les pirates attendent le moment ou les applications sont le plus vulnérables pour frapper.

Des attaques système et réseau

Les cybercriminels exploitent également des technologies d’intelligence artificielle pour exécuter des malware capable de se propager de manière autonome sur un système ou un réseau jusqu'à ce qu'ils trouvent une cible spécifique. Pour augmenter les probabilités de réussite de ces attaques, ils ciblent en priorité des failles de sécurité non corrigées. Si la charge malveillante basée sur l'IA fait toutefois face à une vulnérabilité déjà patchée, elle est capable de s’adapter immédiatement pour tenter de compromettre le système par d'autres moyens. Des méthodes sophistiquées qui compliquent sérieusement la tâche des responsables de la sécurité.

Intrusions indétectables

L’IA est également utilisée par les pirates pour créer des logiciels malveillants afin de mener des attaques furtives. Ces derniers ont été conçus pour apprendre comment l'environnement informatique d’une organisation ou d’une entreprise fonctionne. Le malware analyse par exemple les cycles des mises à jour de correctifs, les protocoles de communication utilisés, ou encore les moments ou les systèmes sont le moins bien protégés.

Une fois qu’il a récolté suffisamment d’informations, il se fond littéralement dans l'environnement de sécurité et devient très difficlement détectable. Le malware doté d'une IA autonome peut alors mener des attaques furtives pour frapper ses cibles à volonté en pénétrant et en quittant le système à volonté sans laisser de traces.

Campagnes d’hameçonnage automatisées

Grâce à l’intelligence artificielle et l’apprentissage automatique, les cybercriminels parviennent à créer des emails avec des contenus beaucoup plus pertinents et précis sans aucune faute d'orthographe. L'IA leur permet de mieux déterminer et cerner leurs cibles en analysant d'énormes quantités de données notamment via les réseaux sociaux. Ils utilisent ensuite la puissance des outils d’apprentissage automatique pour identifier les courriers qui génèrent le plus de clics ou ceux qui au contraire ne fonctionnent pas.

Au fil du temps, les cyberescrocs arrivent ainsi à produire des communications de plus en plus convaicantes. Depuis le début de la crise sanitaire, les campagnes de phishing sur le thème du Covid-19 font des ravages. Les cybercriminels n’hésitent pas à jouer sur la corde sensible pour leurrer leurs victimes dans le but leur subtiliser des données sensibles.

Des programmes malveillants apprenants

La particularité des technologies d'IA réside dans le fait qu’elles sont capables d’apprendre, de progresser et de s’adapter aux différentes situations. Cela n’a évidemment pas échappé aux pirates qui exploitent leurs capacités pour modéliser des attaques adaptables par le biais de programmes malveillants intelligents. Ces malwares de dernière génération sont capables de collecter des informations sur ce qui a empêché une attaque de fonctionner afin de conserver uniquement ce qui s’est avéré utile pour gagner en efficacité.

Si une attaque basée sur l’IA échoue dans un premier temps, ses capacités d’adaptabilité peuvent permettre aux pirates de réussir les attaques suivantes. De quoi donner du fil à retordre aux éditeurs de sécurité qui devront apprendre ces techniques pour pouvoir développer des outils capables de les détecter et de les contrer.

Le deepfake audio

Le deepfake ou hypertrucage est une technologie basée sur l’intelligence artificielle utilisée pour créer des images et des voix de synthèse. De plus en plus élaborée, cette technologie permet notamment de cloner la voix d’une personne pour se faire passer pour elle. Il n’en fallait pas plus pour que les cybercriminels s’en emparent pour imaginer un nouveau type d’attaques… vocales. En 2019, le directeur général d’une entreprise britannique s’est fait dérober 220 000 euros suite à un appel deepfake. Les cybercriminels ont utilisé un logiciel de synthétisation de voix pour imiter la voix du PDG de la maison mère allemande de l'entreprise.

Par le biais de cette fausse voix, les escrocs ont ordonné un transfert urgent à un prestataire hongrois. Pensant parler à son supérieur, le directeur a viré les fonds le jour même sans aucune hésitation. Les cybercriminels et les fonds n’ont jamais pu être retrouvés. Cette nouvelle forme d’attaque témoigne du potentiel de l’IA pour les cybercriminels, et ce n’est sans doute qu’un début. La guerre entre les IA défensives et les IA pirates ne fait que commencer…