Rapport 2020 de Sophos sur les menaces : l’IA est devenue l’enjeu majeur

Cybersécurité

L’intelligence artificielle est devenue le nouvel enjeu majeur en matière de menaces, selon un rapport publié récemment par les SophosLabs.

sophos

Le rapport 2020 sur les menaces met en lumière un combat qui ne cesse de s’intensifier entre les cybercriminels et les entreprises de sécurité alors que les technologies d’automatisation intelligentes continuent d’évoluer.

Les entreprises de sécurité utilisent la technologie d’apprentissage automatique pour détecter toutes les menaces allant des malwares aux emails de phishing, mais les experts en données ont découvert des moyens de déjouer ces systèmes. Selon le rapport de Sophos, les chercheurs conçoivent de nouvelles attaques pour contourner les modèles basés sur l’intelligence artificielle, qui sont utilisés pour protéger les réseaux modernes, des attaques qui commencent à quitter le monde théorique pour intégrer concrètement les boîtes à outils des cybercriminels.

L’une de ces approches consiste à façonner les malwares et les emails avec des données supplémentaires, les rendant ainsi inoffensifs pour les systèmes d’apprentissage automatique. Une autre vise à reproduire les modèles d’entraînement que les entreprises de sécurité utilisent pour créer leurs algorithmes d’intelligence artificielle, en les utilisant pour mieux comprendre les types de propriétés que les modèles d’apprentissage automatique ciblent. Cette approche permet aux attaquants d’adapter des fichiers malveillants pour contourner les protections basées sur l’IA.

L’autre grande inquiétude liée à l’IA est l’IA générative, qui utilise des réseaux neuronaux pour créer des artefacts humains réalistes tels que des images, des voix et du texte. Aussi connus sous le nom de deepfakes, ils sont susceptibles d’être améliorés et de poser de véritables problèmes aux humains car ils ne pourront pas faire la différence. Sophos prédit que, dans les années à venir, les deepfakes seront utilisés pour lancer plus d’attaques automatisées de type ingénierie sociale (appelées aussi attaques “wetware”).

Selon le rapport de Sophos, l’automatisation fait déjà partie du paysage des attaques et ne cesse de se développer. Il souligne également que les pirates exploitent des outils automatisés pour échapper à la détection, citant notamment l’approche “living off the land” comme une menace particulière. Ainsi, les attaquants utilisent des outils légitimes classiques, allant du produit de numérisation réseau nmap au PowerShell de Microsoft, dans leur quête permanente pour se déplacer latéralement sur les réseaux de leurs victimes, en augmentant leurs privilèges et en volant des données sans être détectés.

Les cybercriminels en ligne ciblent également des ressources admin avec des malwares de type leurre, qu’ils peuvent disséminer librement au sein de l’infrastructure de la victime, prévient le rapport de Sophos. Ce malware contient des charges virales plutôt inoffensives, leur permettant ainsi d’induire en erreur les administrateurs, pendant qu’en toute discrétion, les véritables charges virales sont libérées.

La troisième arme de l’arsenal automatisé des attaquants sont les applications potentiellement indésirables (PUA). Contrairement aux malwares de type leurre inoffensif, les PUA n’attirent généralement pas beaucoup l’attention car elles ne sont pas considérées comme des malwares à proprement parlé. Pourtant, les attaquants peuvent toujours les programmer pour qu’elles s’activent automatiquement et libèrent des charges virales dommageables suivant un timing qu’ils auront choisi, prévient Sophos.

Les attaques automatisées constituent également une menace pour les machines exposant des ports spécifiques en ligne, souligne le rapport. À titre d’exemple, Sophos utilise des ordinateurs dotés de ports RDP (Remote Desktop Protocol) exposés au public, qui sont des cibles classiques pour des attaques par force brute lancées sur des mots de passe. C’est un exemple parmi tant d’autres qui illustre bien ce que l’entreprise appelle le “rayonnement de fond d’internet“, à savoir le brouhaha constant que génère les activités en ligne et qui constitue un véritable océan de trafic malveillant.

Si l’IA représente une véritable menace pour le futur alors que les technologies automatisées représentent, quant à elles, des dangers bien réels et surtout actuels, nous ne devrions pas ignorer les infections du passé. Les malwares qui ont balayé internet il y a de nombreuses années continuent de mettre en évidence des insécurités intrinsèques à de vastes blocs d’infrastructure en ligne. Le rapport identifie les infections du “zombie” WannaCry qui se cache encore au sein de nombreux réseaux. Ces infections, basées sur des variantes du malware d’origine, montrent bien qu’il existe encore de grandes quantités de machines non corrigées en ligne.

Il en va de même pour Mirai, le botnet basé sur les objets connectés (IoT), et qui a balayé le monde entier en 2016 et existe toujours encore aujourd’hui. Les SophosLabs ont vu des réseaux infectés par Mirai lancer des attaques sur des serveurs de base de données à l’aide de chaînes de commandes sophistiquées pouvant prendre en charge un système entier.

Le rapport de Sophos a mis en évidence de nombreuses autres menaces, notamment des attaques assez variées, en forte augmentation, et dirigées contre les propriétaires de smartphones. Les attaquants ont recourent à toutes les méthodes possibles, des applications SIMjacking aux adwares en passant par des applications de type ‘fleeceware’, qui facturent des montants exorbitants pour des fonctionnalités disponibles ailleurs gratuitement ou ayant très peu de valeur.

Alors que la technologie évolue à un rythme effréné, une chose est certaine : la créativité de la communauté du cybercrime continuera d’évoluer en parallèle. Cependant, même si les entreprises peuvent à juste titre s’inquiéter des menaces sophistiquées du futur sur le plan technologique, tout effort en matière de cybersécurité commence par des étapes élémentaires telles que l’installation de correctifs logiciels, la mise en place de politiques d’accès strictes, une surveillance adéquate du système et du réseau et la formation/sensibilisation des utilisateurs. Des mesures comme celles-ci n’ont pas besoin de l’intervention d’experts de l’IA, et peuvent vous éviter beaucoup de problèmes à l’avenir.

N’hésitez pas à télécharger le rapport 2020 des SophosLabs sur les menaces.


Billet inspiré de Sophos 2020 Threat Report: AI is the new battleground, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.