IA et ransomwares : au-delà de l’engouement médiatique

Rick Vanover, Vice President Product Strategy, Veeam revient sur ce sujet crucial et partage son expertise.

Cependant, il convient de dépasser l’engouement médiatique actuel et de se concentrer sur les faits. Il a beaucoup été question de l’impact potentiel de l’IA sur la menace que représentent les ransomwares à l’échelle mondiale : mais dans quelle mesure cela change-t-il réellement la donne ?

Sécurité et criminalité : l’IA devient un outil pour tous

Bien que le potentiel de l’IA sur la cybercriminalité et la société en général soit immense – et un peu effrayant –, il est plus utile de se concentrer sur la situation actuelle. Aujourd’hui, l’IA ne représente qu’un outil supplémentaire à la disposition des acteurs malveillants, mais un outil qui reste essentiel en leur permettant d’abaisser les barrières d’entrée. Le National Cyber Security Centre du Royaume-Uni a récemment alerté sur le risque que l’IA contribue à amplifier la menace des ransomwares en favorisant « la reconnaissance, l’hameçonnage et le codage ».

L’utilisation de l’IA pour aider au codage constitue déjà une pratique courante chez les programmateurs légitimes. En plus de savoir corriger un code erroné ou répondre à des questions spécifiques plus rapidement que Google, l’IA peut aussi bien aider les criminels qui piratent les systèmes informatiques que les personnes chargées de les développer. Toutefois, si cette tendance peut faciliter la tâche aux cybercriminels, elle ne contribuera pas à compliquer les choses pour les équipes de sécurité.  Le résultat reste le même, et selon à qui l’on s’adresse, le produit fini pourrait même être pire que prévu.

Néanmoins, les autres cas d’utilisation courants sont plus lourds de conséquences. Par exemple, les algorithmes d’IA peuvent désormais analyser les réseaux ou les environnements pour cartographier les architectures et les terminaux existants et, plus important encore, repérer d’éventuelles vulnérabilités. Si les acteurs malveillants peuvent déjà effectuer ces tâches manuellement, l’IA leur permet de les rendre beaucoup plus simples et efficaces. Elle peut également être utilisée pour automatiser la collecte d’informations permettant de mener des attaques plus ciblées. Ces outils peuvent alors aider les cyberattaquants à passer Internet (et plus particulièrement les réseaux sociaux) au crible afin de rassembler le maximum d’informations sur une cible à des fins d’hameçonnage et d’ingénierie sociale.

Ce point permet d’aborder la dernière façon typique dont les cybercriminels utilisent l’IA : quand l’engouement médiatique est à son comble, le fait de décrire l’IA comme une simple « aide pour construire des mails frauduleux » est très probablement en dessous de la réalité. À l’origine, il est possible d’élaborer des mails plus convaincants en s’appuyant sur des outils d’IA extrêmement faciles d’accès, ce qui permet notamment de combler les lacunes et les erreurs de langage qui rendent les escroqueries informatiques si faciles à repérer. Enfin, le clonage vocal (ou « deepfake ») de personnes spécifiques constitue une autre amélioration apportée par l’IA dans le cadre d’activités malveillantes. Ce procédé, combiné à la collecte automatique d’informations sur une cible précise, constitue la nouvelle génération de techniques d’ingénierie sociale.

Qu’en est-il de la sécurité ?

Aujourd’hui, s’il est vrai que les cybercriminels n’ont jamais eu autant d’outils à leur disposition, il est essentiel de garder deux choses à l’esprit : d’une part, les équipes de sécurité ont également accès à ces outils, et d’autre part, l’IA va contribuer à rendre les attaques plus sophistiquées et plus efficaces. Pour le moment, l’IA n’introduit aucune nouvelle menace ; il n’est donc pas nécessaire de revoir toutes les pratiques en place.

Sur le champ de bataille des menaces, l’IA est une arme dont les deux camps font déjà usage. Si les cybercriminels peuvent accéder à des solutions et des services sur des « dark marketplaces », les personnes dites « lambdas » en ont tout autant – sinon plus – à leur disposition. Par ailleurs, si le « secteur du ransomware » était estimé à 14 milliards de dollars (une somme considérable) en 2022, il fait aujourd’hui pâle figure comparé aux 200 milliards de dollars du secteur mondial de la sécurité.

En matière de sécurité, l’IA peut être utilisée pour l’analyse comportementale, la détection des menaces et la recherche de vulnérabilités afin de détecter les risques et les activités malveillantes. Elle peut aussi être mise à profit pour surveiller à la fois le système en lui-même (en détectant les vulnérabilités et les points d’entrée) et les activités qui s’y déroulent (au moyen d’analyses comportementales, d’analyses de données, etc.). La sécurité alimentée par l’IA vise à anticiper et à contrecarrer les menaces avant que celles-ci ne se transforment en failles exploitables. Des outils plus modernes permettront de répondre automatiquement à ces menaces, en alertant les équipes de sécurité ou en restreignant l’accès au système. Du côté des cybercriminels, la plupart de ces concepts (tels que les pares-feux ou les détecteurs de malwares) sont déjà bien connus, mais l’IA leur permettra de les perfectionner.

La clé : suivre les principes fondamentaux

En résumé, même si l’IA peut être utilisée dans les deux camps, il ne s’agit pas de faire en sorte que les différentes IA s’affrontent dans le cyberespace – même si pareille image peut sembler fascinante.  Pour l’instant, les ransomwares restent les mêmes, ainsi que les tactiques d’attaque utilisées par les acteurs malveillants. Si l’hygiène numérique et le modèle de cybersécurité Zero Trust restent toujours valables, il est évident que la sécurité devra garder la cadence et faire preuve d’adaptation. Après tout, tandis que les techniques d’ingénierie sociale n’ont besoin de fonctionner qu’une seule fois pour pouvoir faire mouche, il est nécessaire de constamment conduire des actions de prévention et de faire preuve d’une grande résilience pour lutter contre les attaques de ransomwares.  

En fin de compte, il convient de s’en tenir aux bonnes pratiques en vigueur. Alors que les ransomwares alimentés par l’IA tendent à se généraliser, il est plus que jamais essentiel de disposer de plusieurs copies de ses données. Lorsque plus rien ne fonctionne, la sauvegarde et la restauration des données constituent les deux derniers remparts sur lesquels compter. Ces techniques éprouvées peuvent contrecarrer tous les scénarios les plus effrayants, y compris ceux impliquant l’attaque par hameçonnage la plus complexe connue de l’homme ou de la machine.

La sauvegarde constitue la ligne de défense ultime face aux cyberattaques et il est important de savoir qu’elle est fiable. Une fois encore, les bonnes pratiques à adopter n’ont pas changé : il est nécessaire de disposer de plusieurs copies de ses données, dont une copie hors ligne et une copie hors site. Il est également indispensable de disposer d’une stratégie de restauration bien rodée, qui comprend l’analyse des sauvegardes pour détecter toute altération potentielle et la mise en place d’un environnement de restauration opérationnel.

La situation est moins déconcertante qu’il n’y paraît. L’IA ne change pas fondamentalement la donne et n’est qu’une progression naturelle, inhérente à la cybersécurité ; on ne peut certes pas tout accomplir, mais il est possible de réaliser des avancées technologiques. Il est donc conseillé de suivre les principes fondamentaux, de se tenir au courant des bonnes pratiques en vigueur et de s’assurer de pouvoir faire confiance à son système de sauvegarde en tant qu’ultime rempart lorsque toutes les barrières sont tombées.