Les algorithmes qui apprennent par eux-mêmes sont souvent cités en exemple pour reconnaître les images de maladies ou conduire les voitures autonomes. Reste que l’apprentissage machine s’impose aussi toujours plus dans le monde de la sécurité afin de lutter plus efficacement contre la cybercriminalité.
Aujourd’hui, tous les feux sont braqués sur les entreprises spécialisées en sécurité. Le piratage de l’américaine Equifax a largement mis en exergue l’importance d’une bonne sécurité. En l’occurrence, le problème se situait au niveau des serveurs trop tardivement patchés, tandis qu’il avait fallu des mois avant de constater que des pirates s’étaient introduits dans les systèmes. Par ailleurs, il devient évident que des sites populaires comme le Play Store de Google peuvent facilement être envahis d’applis malveillantes, tandis que même iOS ne serait pas inattaquable (même si le problème est ici bien plus limité).
Face à cette situation, une entreprise comme Vectra a décidé de réagir. ” Nous concevons des logiciels destinés à renforcer les activités de sécurité, plus spécifiquement pour les problèmes de sécurité encore jamais rencontrés en examinant à chaque fois s’il s’agit d’une nouvelle technique d’attaque. Cela exige beaucoup d’interventions manuelles durant la phase de développement, mais nous les automatisant à l’aide d’algorithmes d’apprentissage machine “, explique Mike Banic, vice-président marketing de Vectra.
Vectra n’est pas un pare-feu, ni un antivirus, mais entend détecter les menaces qui visent le département IT et indiquer les priorités à définir. ” Nous ne pouvons pas contrecarrer une attaque, mais nous parvenons à la trouver une fois qu’elle a frappé. Ainsi, on évite que des pirates infiltrent votre réseau sans être remarqué durant plusieurs mois et détournent beaucoup de données. ” C’est ainsi que sur 1.000 interactions, 850 paraissent liées à la sécurité, alors qu’elles ne sont de loin pas toutes associées à une faille ou un autre danger majeur. ” Nous essayons de les filtrer pour en arriver à environ 65 comportements d’attaque effective, après quoi nous établissons une liste d’une petite trentaine d’appareils susceptibles d’avoir été attaqués. Nous donnons également un score basé sur le niveau de la menace et une probabilité d’attaque, basée sur les observations antérieures. Ce faisant, votre équipe de sécurité peut économiser pas mal de travail. ”
La méthode des signatures ne fonctionne plus. Dès lors, nous identifions les applis malveillantes grâce à l’apprentissage machine. ” John Michelsen, Zimperium
Vectra affirme recourir à quelques dizaines de techniques d’apprentissage machine. ” Nous améliorons chaque mois nos algorithmes sur base des analyses effectuées. Ainsi, 65 % de nos clients permettent d’utiliser leurs données pour rendre nos systèmes plus intelligents car plus nous disposons de jeux de données, plus nos connaissances s’enrichissent et plus nos systèmes sont précis. ” Précisons qu’il s’agit en l’occurrence de données anonymisées. ” On ne consulte pas le contenu d’une boîte mail, mais le comportement du trafic sur un appareil et s’il s’agit ou non d’une tentative d’attaque “, précise Chris Morales, responsable security analytics de Vectra. On peut même constater des attaques sur un réseau crypté. ”
Vectra est notamment utilisé dans le secteur financier et dans l’enseignement supérieur. ” Nous y constatons souvent des botnets via les appareils des étudiants. Mais la plupart des établissements savent désormais qu’il faut les connecter à un autre réseau que celui utilisé pour les infrastructures critiques “, dixit Morales.
Oracle
L’activité proposée par Morales et Banic n’est pourtant pas vraiment unique, comme nous avons pu le constater lors d’Oracle OpenWorld où le CTO Larry Ellison joue une carte identique. ” Il s’agit de savoir quand on va être attaqué. Si quelqu’un se promène dans vos systèmes ou utilise une identité frauduleuse, il est essentiel de le savoir avant que le pirate ne pénètre plus avant et ne vole des données. ”
” Il est indispensable d’automatiser la cybersécurité. Aujourd’hui, les ordinateurs peuvent mieux reconnaître les visages que l’être humain. Pourquoi dès lors ne pas utiliser cette technologie pour automatiser partiellement notre cyber-sécurité et, à terme, l’automatiser totalement. ”
A titre d’illustration, le CTO d’Oracle cite la reconnaissance de schémas. ” Une entreprise génère des millions de logs par jour pour le matériel, les logiciels, le stockage, le réseau, l’OS ou les machines virtuelles. Nous les stockons au cas où quelqu’un crée une table ou lance une requête. En regroupant toutes ces données, nous pourrions entraîner un système à distinguer les schémas normaux et anormaux. ”
De même, Hank Skorny, vice-président senior IoT de Neustar, spécialisée en gestion d’identité, insiste sur la nécessité de contrôler automatiquement non seulement l’accès aux systèmes, mais aussi l’activité sur le réseau et les plates-formes. ” En termes d’identification, il faut toujours douter de la fiabilité d’une information. Il faut contrôler non seulement qui a accès à un système, mais aussi surveiller ce que certains acteurs font sur l’infrastructure. Les choses peuvent parfois se passer en quelques secondes ; dès lors, l’IA et l’apprentissage machine peuvent certainement aider à repérer les menaces avant même que l’être humain ait constaté quelque chose. ”
Le maliciel n’est plus le seul levier
Le fait de pouvoir reconnaître automatiquement des attaques permet également de dégager plus rapidement certaines tendances. ” Voici un an, je vous aurais dit que les maliciels sont souvent la première méthode d’attaque, après quoi le pirate se déplace de manière latérale en infectant toujours plus de machines et en augmentant ses droits sur le réseau afin d’étendre sa mainmise sur l’infrastructure, explique encore Chris Morales de Vectra. Mais désormais, nous assistons à des attaques sans maliciel. Le pirate s’introduit avec un nom d’utilisateur ou un mot de passe, ou via une application logicielle à laquelle il a pu accéder de manière légale ou illicite. ”
Mobile
De même, l’apprentissage machine peut être employé au niveau de la protection d’appareils mobiles. Tel est précisément la spécialité de Zimperium, qui cible iOS, Android et l’Universal Windows Platform. ” Nous proposons notre technologie de détection sous forme d’appli, mais aussi comme un SDK que les entreprises peuvent utiliser elles-mêmes, précise John Michelsen, chief product officer de Zimperium. Ce faisant, nous pouvons détecter tant les attaques connues qu’inconnues. Lorsque la faille Dirty Cow a été décelée, de nombreuses entreprises de sécurité ont dû d’abord vérifier si leurs clients étaient protégés, alors que nos clients étaient protégés alors même que nous ne connaissions pas le problème qui a été automatiquement détecté. Du coup, nous faisons aussi beaucoup d’annonces ; c’est ainsi que nous en avons communiqué 7 à Apple avant même que la nouvelle version d’iOS ne soit lancée. La méthode des signatures [le fragment de code laissé par le maliciel, NDLR] ne fonctionne plus. Dès lors, nous identifions les applis malveillantes grâce à l’apprentissage machine. Ces 18 derniers mois, nous avons entraîné notre logiciel à reconnaître si une appli se comporte mal ou pas. Indépendamment de ce qu’elle fait exactement, il y a toujours un mouvement que nous percevons. ”
La puissance de l’algorithme n’est d’ailleurs pas uniquement disponible dans le cloud. Ainsi, les mécanismes d’apprentissage machine sont désormais intégrés dans les applis. Selon les développeurs, cette intégration n’exige pas plus de 9 Mo supplémentaires dans l’appli. Chaque appli est scannée lors de l’installation ou d’une mise à jour, ce qui prend 30 secondes. Mais qu’en est-il des maliciels qui ne s’activent qu’ultérieurement ? ” Souvent, le malware n’apparaît que quelques jours après le branchement du Wi-fi ou du Bluetooth. Ou via des fichiers de médias. Mais dès qu’une activité suspecte est décelée, il y a de fortes chances que notre algorithme la détecte “, conclut Michelsen.
Ces dernières années, l’apprentissage machine et l’intelligence artificielle ont fait leur apparition dans l’analyse d’images de maladies ou la détection de la fraude. Mais des entreprises de sécurité exploitent désormais aussi cette technologie, tandis qu’Oracle l’embarque dans ses propres produits. Le jeu du chat et de la souris entre pirates et entreprises de sécurité est reparti. Le second doit au plus vite essayer de détecter les menaces inconnues, tandis que le premier doit redoubler de prudence pour ne pas activer une alarme automatisée…
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici