Des pirates utilisent l’IA pour exploiter une faille indétectable : Google affirme avoir déjoué une attaque de masse
L’intelligence artificielle a rendu plus simple la rédaction d’e-mails, la création de feuilles de calcul et l’organisation de vacances, comme en témoigne la grande popularité des différents modèles d’IA.
PUBLICITÉ
PUBLICITÉ
Elle a aussi, selon un récent rapport de Google, considérablement facilité l’identification de failles jusque-là non répertoriées ou impossibles à anticiper dans les logiciels de nos systèmes.
Le Threat Intelligence Group de Google indique avoir, pour la première fois, constaté que des pirates informatiques utilisaient l’IA pour découvrir et exploiter une faille dite « zero-day », autrement dit une vulnérabilité de sécurité dont l’éditeur du logiciel ignore encore l’existence et pour laquelle aucun correctif n’est disponible.
La cible était un outil populaire d’administration de systèmes basé sur le web et la faille permettait aux attaquants de contourner l’authentification à deux facteurs, cette deuxième couche de sécurité que la plupart des utilisateurs pensent suffisante pour protéger leurs comptes.
Google affirme avoir repéré l’attaque avant qu’elle ne soit déployée à grande échelle et avoir averti discrètement l’éditeur du logiciel.
« L’acteur malveillant prévoyait de l’utiliser dans le cadre d’un événement d’exploitation de masse, mais notre découverte proactive a peut-être empêché son utilisation », souligne le rapport.
« Des acteurs de la menace associés à la République populaire de Chine (RPC) et à la République populaire démocratique de Corée (RPDC) ont également manifesté un intérêt marqué pour l’exploitation de l’IA dans la découverte de vulnérabilités. »
Une faille passée inaperçue des développeurs
La faille zero-day en question n’a rien d’un bug classique. Les scanners de sécurité traditionnels traquent les plantages et les erreurs de mémoire, l’équivalent logiciel d’un correcteur orthographique cherchant la version numérique d’une faute de frappe, mais cette vulnérabilité était enfouie dans la logique du code, dans une hypothèse subtilement codée en dur par le développeur qu’aucun analyseur automatique n’aurait pu déceler.
C’est le genre d’erreur où tout semble correct en surface alors que le raisonnement sous-jacent est bancal. Imaginez une chambre forte dont la serrure fonctionne mais qui s’ouvre tout de même pour quiconque connaît l’existence d’une exception que le concepteur, sans s’en rendre compte, a intégrée.
C’est précisément ce type de contradiction que l’IA repère bien. « Les modèles de langage de pointe excellent à identifier ces types de failles de haut niveau et d’anomalies statiques codées en dur », poursuit le rapport.
Même si ces modèles de dernière génération peinent à naviguer dans la logique complexe des systèmes d’autorisation en entreprise, « ils sont de plus en plus capables de raisonner en fonction du contexte... et de [détecter] les contradictions liées à ces exceptions codées en dur », conclut-il.
Cette capacité permet aux modèles de faire remonter des erreurs logiques dormantes qui paraissent fonctionnellement correctes aux yeux des scanners traditionnels, mais qui constituent en réalité des failles de sécurité.
L’IA ne se limite pas à cette faille
Si la faille zero-day constitue la principale découverte, l’ensemble du rapport est pour le moins préoccupant.
Des pirates informatiques sponsorisés par les États chinois et nord-coréen utilisent l’IA pour traquer les vulnérabilités à l’échelle industrielle, en envoyant des requêtes automatisées pour tester les faiblesses de tout, des routeurs domestiques aux réseaux d’entreprise.
Google a observé un groupe nord-coréen « envoyer des milliers de requêtes répétitives qui analysent de manière récursive différentes CVE et valident des exploits PoC », se constituant ainsi « un arsenal plus robuste de capacités d’exploitation qu’il serait difficile de gérer sans l’aide de l’IA », selon le rapport.
Des groupes liés à la Russie utilisent, eux, l’IA pour développer des logiciels malveillants capables de se réécrire à la volée afin d’échapper à la détection, une capacité qui nécessitait auparavant une expertise humaine considérable.
L’IA transforme aussi le phishing. Au lieu d’envoyer en masse des e-mails génériques, les attaquants s’appuient désormais sur l’IA pour cartographier les hiérarchies d’entreprise, identifier des cibles bien précises ayant accès à des données sensibles et générer, selon les termes du rapport, « des appâts de phishing de haute fidélité, adaptés à des personnes disposant de privilèges administratifs », qui vont bien au-delà « des tactiques standard du phishing de masse traditionnel ».
Google met en garde contre une évolution plus large, l’IA passant du statut d’outil de recherche à celui d’acteur actif dans le champ de la sécurité.
« Le modèle de langage n’est plus un simple conseiller passif, mais un participant actif à la chaîne offensive, capable d’orchestrer des ensembles d’outils complexes et de prendre des décisions tactiques à la vitesse de la machine. »
Les propres outils d’IA de Google ont signalé la faille zero-day avant qu’elle ne cause des dégâts, ce qui constitue la note positive ici. L’entreprise déploie elle-même des agents d’IA pour détecter et corriger les vulnérabilités plus rapidement que ne le pourraient des équipes humaines.