“Pour entraîner un algorithme, il faut savoir comment une attaque se présente”
Comment la sécurité évoluera-t-elle dans les prochaines années et l’impact l’IA ou le quantique aura-t-il sur cette sécurité? Data News a rencontré Charl van der Walt, Global Head of Security Research for Orange Cyberdefense.
L’apprentissage machine trouve-t-elle déjà sa place dans la cybersécurité aujourd’hui?
Charl Van Der Walt: A nos yeux, l’apprentissage machine n’aura pas d’emblée un impact majeur sur l’évolution de la sécurité, mais pourra être mise en oeuvre pour résoudre des problèmes ponctuels. En effet, la technologie se révèle intéressante pour certaines applications très spécifiques. En fait, l’apprentissage machine nécessite pour son déploiement de développer un algorithme ainsi que de disposer de données et de connaissances techniques. Vous devez savoir quel type de problème vous souhaitez résoudre. Un bon exemple à cet égard est la détection de maliciels. Nous savons depuis longtemps comment scanner des fichiers et sommes capables de le faire à grande échelle. Nous disposons en outre de bibliothèques complètes de maliciels découverts qui permettent d’entraîner nos algorithmes. Nous pouvons parfaitement, au départ d’un nouvel échantillon, imaginer de tel type de maliciel il s’agit. Au cours des six dernières années, nous avons réussi à mieux détecter ce type de virus.
Une autre application potentielle concerne la détection de comportements anormaux. Nous avons souvent tendance à appliquer l’apprentissage machine à ce type de problème, alors que le défi consiste à collecter les données susceptibles d’entraîner des algorithmes à l’apprentissage machine. Il faut en effet savoir comment une attaque se présente. Or il n’existe que peu d’exemples permettant d’entraîner un tel algorithme. C’est pourquoi la plupart des développeurs se tournent vers l’approche dite ‘unsupervised machine learning’ qui permet de détecter les anomalies et d’apprendre ensuite à l’algorithme à repérer les situations normales.
Mais pour ce faire, il faut disposer d’une machine ou d’une appli spécifique?
Van Der Walt: Effectivement. Et un tel algorithme se révèle très performant dans la détection d’anomalies, sans pour autant permettre de savoir s’il s’agit d’un acte malveillant ou accidentel. Dès lors, on voit apparaître de très nombreux faux positifs. En effet, il y a de très nombreuses anomalies qui ne sont pas forcément mauvaises.
Par ailleurs, on obtiendra de meilleurs résultats dans des applications très spécifiques, comme la détection de générateurs de noms de domaine. Les pirates qui ont besoin de domaines pour les sites d’hameçonnage ou pour diriger de l’activité vers leurs maliciels vont généralement utiliser des procédures automatiques de génération. Il est possible d’entraîner des machines pour améliorer la reconnaissance et être encore plus performantes que des êtres humains.
L’apprentissage machine est-il également exploité par les pirates?
Van Der Walt: L’une des applications classiques de l’apprentissage machine utilisée par les pirates sont les ‘deepfakes’. On y retrouve un éventail de technologies permettant aux pirates notamment d’imiter des votes. Et il s’agit là à peu près de la seule application dont nous sommes certains qu’elle est mise en oeuvre. Lorsqu’il est question d’exemples d’utilisation de l’IA par des pirates, c’est en général autour des ‘deepfakes’.
L’institut américain de standardisation NIST vient de définir de nouveaux standards de cryptographie qui seront résistants à l’informatique quantique. Est-ce une problématique dont vous vous occupez?
Van Der Walt: A court terme, cette décision n’aura pas d’impact direct, mais bien à plus long terme. Le problème est que la plupart des algorithmes de cryptage modernes s’appuient sur des données mathématiques qui sont difficiles à solutionner, mais faciles à imiter. Et bon nombre de ces clés ne peuvent être décryptées avec les ordinateurs actuels, mais pourront l’être en quelques minutes avec un ordinateur quantique.
La bonne nouvelle est cependant que les ordinateurs quantiques ne se généraliseront que d’ici 5 à 30 ans. Et dans ce cas, on n’aura encore que des ordinateurs quantiques généralistes. En d’autres termes, des ordinateurs que tout le monde ne pourra pas acquérir. Il faudra en outre les programmer et développer des logiciels spécifiques, des systèmes d’exploitation, des pilotes et des librairies. Nous avons donc encore une certaine marge. Dans le même temps, il faut des années avant de remplacer un algorithme cryptographique.
S’agit-il d’un problème, par exemple pour les banques?
Van Der Walt: Celles-ci ont en effet tout intérêt à utiliser une cryptographie forte. Cela étant, il existe un autre domaine vulnérable, à savoir les cryptomonnaies et la finance décentralisée ou DeFi. En effet, vous avez un portemonnaie sur la chaîne de blocs qui est en soi une clé cryptographique. Si quelqu’un peut déverrouiller cette clé, il peut s’emparer de l’argent. Se pose d’ailleurs la question de savoir comment le secteur va réagir. Des standards tels que ceux du NIST sont traditionnellement assez bien implémentés dans des secteurs régulés, mais aucune règle ne s’applique pour l’instant au DeFi.
Comment va évoluer la cybersécurité?
Van Der Walt: L’un des projets que nous avons initiés en matière d’apprentissage machine vise à identifier les grandes tendances du secteur. C’est ainsi que nous avons constaté une croissance du nombre d’attaques et d’incidents de sécurité au niveau des téléphones mobiles. On assiste à une accélération des attaques, essentiellement à l’initiative de personnes disposant de budgets publics. Songez à la recherche de terroristes et de dissidents. De telles attaques exigent des moyens publics vu le coût du piratage d’un appareil mobile, sachant que de tels systèmes sont hautement sécurisés.
Historiquement, on constate que lorsqu’un service public commence à investir dans une technologie ou une technique, l’escalade ne fait que s’amplifier. Tout un secteur prend naissance. C’est ainsi que des formations voient le jour pour pirater la sécurité des téléphones mobiles. Le milieu criminel n’avait jamais connu cela. Mais une fois que cela existe, les coûts commencent à diminuer et un nombre croissant de personnes y ont accès. L’ensemble de l’écosystème se développe. On s’attend d’ailleurs à ce que le piratage de mobiles devienne financièrement plus intéressant pour les cybercriminels.
Si l’on prend par ailleurs en compte l’importance croissante des smartphones, on se rend compte que la sécurité mobile devient un problème majeur. C’est ainsi que l’on utilise toujours plus son mobile comme une preuve d’identité. Tout est ouvert sur l’Internet et pour y accéder, il faut justifier son identité, souvent par une authentification multi-facteur. Et pour cela, il faut un téléphone mobile.
Dans l’ensemble, les téléphones mobiles sont le point d’orgue d’une informatique sécurisée. On y trouve des surfaces d’attaque plus limitées, des boutiques d’appli fermées où seules des applis autorisées peuvent tourner, de la segmentation interne entre les applis et les processus, tandis que les utilisateurs ne disposent pas de droits d’administrateur. Au niveau de la sécurité, ces appareils sont d’un haut niveau et ne présentaient jusqu’ici que peu d’intérêt pour les pirates. Mais à présent que le mobile gagne en importance pour l’identité et que les coûts diminuent dans la mesure où les pouvoirs publics investissent dans le piratage, le problème devient plus crucial.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici