Cyber-renseignement : vers une lutte d’intelligences artificielles

Pour demeurer opérationnelle et efficace durant plus de deux ans, l’architecture de données fictives Newscaster-NewsOnAir ne devait pas présenter de contradiction entre les différentes composantes du dispositif (faux profils, publications régulières sur de vrais sujets d’actualité, échanges par mail avec les cibles). La cohérence de l’ensemble a été parfaitement entretenue par l’attaquant, seule garantie permettant d’instaurer la confiance. Notons qu’une seule contradiction aurait suffi pour instiller le doute, puis révéler la tromperie… Plus une structure de données fictives est sophistiquée dans le volume de données qu’elle mobilise ou dans la temporalité qu’elle adopte, plus elle devient vulnérable, notamment face aux contradictions internes. Ce principe systémique impose à l’attaquant une vigilance continue s’il veut tirer bénéfice de sa construction.

L’intelligence artificielle permet de créer de faux profils « crédibles » tout en assurant la cohérence globale du réseau fictif. La fausse rédaction de NewsOnAir était composée d’une quinzaine de journalistes. Une plateforme intelligente aurait aujourd’hui la capacité de « faire vivre » une communauté de profils fictifs beaucoup plus importante tout en garantissant sa cohérence et sa crédibilité. Symétriquement, la détection automatique des architectures de données fictives sera nécessairement confiée aux IA, seules en mesure d’analyser de grands corpus informationnels et relationnels afin d’en détecter les anomalies et les contradictions. On s’achemine à ce titre vers un premier duel opposant des IA offensives et défensives.

Deuxième affrontement d’IA : détection/exploitation versus détection/correction des vulnérabilités logicielles

La connaissance d’une vulnérabilité logicielle ou d’une faille de sécurité matérielle inédite, non divulguée, non corrigée, apporte un avantage opérationnel permettant parfois de prendre le contrôle à distance d’un système sans provoquer une alarme d’intrusion. Lorsqu’elle n’a jamais été référencée ni corrigée, une vulnérabilité logicielle s’appelle un Zero Day ou Jour zéro. Le commerce des Zero Days s’organise à partir de plateformes d’échanges sur lesquelles les vulnérabilités se négocient comme des matières premières. On le comprend aisément, les agences de renseignement ont intérêt à rester attentives au marché des Zero Days, car ces failles constituent autant de portes dérobées facilitant l’intrusion furtive dans un système et l’exfiltration de données. Cela dit, la législation européenne en matière de commerce de vulnérabilités logicielles reste très inadaptée aux réalités et au pragmatisme du marché mondial des Zero Days (4). Elle pénalise clairement des startups qui souhaiteraient s’y engager.

L’une des tendances fortes orientant la cybersécurité depuis 2014 consiste en une automatisation de la détection des vulnérabilités grâce à des plateformes embarquant de l’intelligence artificielle et des capacités d’apprentissage machine (machine learning). Le concours CGC (The Cyber Grand Challenge) de la DARPA (l’agence de recherche du Pentagone) illustre parfaitement l’évolution majeure vers cette robotisation de la cybersécurité par la détection autonome de failles logicielles. Le concept soutenu par le CGC DARPA a mis en opposition, lors d’un tournoi, des IA capables d’évaluer les vulnérabilités affectant leur système ainsi que celles des systèmes concurrents. Les IA ont ensuite construit des patchs correctifs de manière totalement autonome et mené des attaques ciblant leurs adversaires. On notera que cette détection autonome reste efficace en position défensive ou offensive et qu’elle augure des futurs duels entre IA. Enfin, d’autres plateformes, comme le système formel* français Coq, développé par l’Institut national de recherche en informatique et en automatique (INRIA), permettent de prouver un programme ou une portion de programme et d’assurer mathématiquement qu’il ne contient pas de faille ou de bug. Les codes prouvés formellement devraient ainsi se généraliser.

À l’image de tous les autres domaines d’expertises humaines, le cyber-renseignement profite désormais des progrès rapides de l’intelligence artificielle pour s’industrialiser et s’automatiser. La collecte et l’interprétation des données vont être confiées à des plateformes intelligentes qui auront la capacité de s’adapter au niveau de détail/de complexité (granularité) de l’information recherchée. Les futures opérations de cybersurveillance et d’intrusions furtives seront conduites par des IA toujours plus agiles et agressives qui entreront nécessairement en concurrence. Ces concurrences risquent fort de se transformer en duels purement algorithmiques durant lesquels l’opérateur humain aura du mal à maintenir son rang de grand superviseur…

Notes

(1) Sources : https://​france​.emc​.com/​l​e​a​d​e​r​s​h​i​p​/​d​i​g​i​t​a​l​-​u​n​i​v​e​r​s​e​/​i​n​d​e​x​.​htm ; http://​www​.excelacom​.com/​r​e​s​o​u​r​c​e​s​/​b​l​o​g​/​2​0​1​6​-​u​p​d​a​t​e​-​w​h​a​t​-​h​a​p​p​e​n​s​-​i​n​-​o​n​e​-​i​n​t​e​r​n​e​t​-​m​i​n​ute.

(2) La collecte s’appliquait en effet non seulement aux données ouvertes du citoyen, mais également aux données privées, confiées par l’utilisateur à Microsoft, Skype, Google, Facebook ou Twitter en échange de services en ligne gratuits.

(3) Isight Partners (spécialiste de la cyberintelligence), « Newscaster : An Iranian Threat inside Social Media », Dallas, 28 mai 2014, accessible sur le site Cyber​-peace​.org (http://​bit​.ly/​2​l​g​e​I9K). Voir également : Thierry Berthier, « Projections algorithmiques et cyberespace », Revue internationale d’intelligence économique, Lavoisier, vol. 5, n° 2, juillet-décembre 2013, p. 179-195.

(4) Le commerce et l’exploitation des vulnérabilités informatiques ont été intégrés à l’Arrangement Wassenaar, relatif aux ventes d’armes et aux outils à usage dual (civil et militaire), qui réglemente fortement l’exportation des Zero Days. L’UE a par ailleurs voté plusieurs résolutions limitant leur exportation et leur commerce.

Légende de la photo en première page : Vue de l’Utah Data Center, l’un des centres de stockage et de traitement de données – opérationnel depuis 2014 – gérés par la NSA américaine et vers lequel converge l’ensemble des données collectées par les satellites de la NSA, ses postes d’écoute internationaux, ainsi que ses branchements posés sur tous les grands réseaux téléphoniques et les fournisseurs d’accès Internet américains. D’un cout total estimé à 2 milliards de dollars, ce site excelle notamment dans l’art du décryptage grâce à sa capacité et à sa vitesse de calcul. (© Parker Higgins/Electronic Frontier Foundation)

Article paru dans la revue DefTech n°01, « Cyber renseignement : le combat des intelligences artificielles », octobre-décembre 2018.

Dans notre boutique

accumsan porta. eleifend id, ante. dictum Praesent dapibus ipsum nunc facilisis leo
Votre panier