(Photo: 123RF)
EXPERT INVITÉ. Les cybermenaces évoluent rapidement, mais une découverte importante par l’intelligence artificielle de Google change la donne pour la détection de vulnérabilités.
Avant d’aller plus loin dans l’histoire, voici quelques définitions importantes.
Une vulnérabilité est une faille dans un système ou logiciel pouvant être exploitée par des attaquants pour accéder ou endommager le système ou les données. Le terme «zéro-day» fait référence au fait qu’il y a eu « zéro jour » depuis la découverte de la vulnérabilité par les développeurs ou les équipes de sécurité du fabricant, donc aucun temps pour la corriger avant qu’elle puisse être exploitée. En d’autres termes, les attaquants peuvent l’exploiter immédiatement, car le développeur n’a pas encore eu la chance de créer un correctif.
Le 3 novembre, Google a annoncé une avancée historique dans la lutte contre ces menaces: son outil basé sur un modèle de langage avancé, nommé «Big Sleep», a découvert un «zéro-day» dans le moteur de base de données SQLite, une technologie «open source» très utilisée. Cette découverte a été rendue possible grâce à la collaboration entre DeepMind, l’entité de Google dédiée à l’intelligence artificielle, et Project Zero, une équipe de chercheurs en cybersécurité de Google.
Cette percée représente non seulement une étape importante dans la cybersécurité défensive, mais soulève également des préoccupations sérieuses quant à la manière dont les cybercriminels et les États peuvent également utiliser des outils similaires pour attaquer les infrastructures critiques. Dans cet article, nous explorerons en détail cette innovation, les avantages pour la cybersécurité et les enjeux d’une course à l’armement numérique alimentée par l’IA.
Une révolution dans la détection des vulnérabilités
Big Sleep a été conçu pour aller au-delà des méthodes traditionnelles de détection de vulnérabilités, comme le «fuzzing», qui consiste à tester des logiciels avec des entrées aléatoires pour découvrir des erreurs. Bien que le «fuzzing» ait été efficace pour repérer des erreurs simples, il atteint ses limites face à des vulnérabilités complexes, où une analyse plus profonde de la logique du code est nécessaire. C’est ici que Big Sleep brille: il est capable d’analyser et de comprendre les structures logiques du code de manière similaire à un chercheur humain, mais avec rapidité et précision.
Dans le cas de SQLite, Big Sleep a détecté une faille dans la gestion du champ «ROWID» de la base de données. Cette faille permettait à une entrée, avec un index négatif, de provoquer un débordement de la mémoire. Une vulnérabilité qui aurait pu être exploitée pour exécuter du code malveillant. Dès que la vulnérabilité a été identifiée, l’équipe de SQLite l’a corrigée immédiatement. Cela montre le grand potentiel de Big Sleep pour détecter et éliminer les vulnérabilités avant leur publication.
Les points positifs de cette innovation
Cette innovation de Google promet de renforcer la robustesse de nos logiciels en réduisant le nombre de vulnérabilités «zéro-day», à condition que les entreprises prennent les mesures nécessaires pour sécuriser leur code avant la mise en production. Voici quelques points positifs.
1. Vitesse et efficacité: Contrairement aux méthodes traditionnelles qui nécessitent des ressources humaines considérables et du temps pour analyser le code, l’IA peut examiner des lignes de code rapidement et de manière approfondie. Cette automatisation de la détection de vulnérabilités réduit le temps de réponse et aide les fabricants à corriger les failles avant qu’elles ne soient exploitées.
2. Précision accrue: Les modèles de langage avancés comme Big Sleep peuvent repérer des vulnérabilités qui pourraient échapper à un humain. En outre, l’IA peut réduire les faux positifs, qui représentent un gaspillage de temps pour les équipes de cybersécurité.
3. Préemption des attaques: La découverte des vulnérabilités «zero-day» avant même leur utilisation par des attaquants crée un environnement plus sécurisé. Cela place les défenseurs dans une position moins réactive, leur permettant de devancer les cybercriminels et de maintenir des systèmes résilients.
4. Vers une cybersécurité démocratisée: Google prévoit partager ses recherches et améliorer la disponibilité de cet outil. Cela pourrait permettre à d’autres acteurs de la cybersécurité, y compris des PME, d’avoir accès à des technologies avancées de détection de vulnérabilités, créant ainsi une défense collective plus solide.
Les facteurs moins positifs
Malheureusement, cette avancée soulève des questions critiques quant aux enjeux que pose une technologie aussi puissante entre de mauvaises mains. Les cybercriminels et les États qui se livrent à la guerre numérique vont également profiter de l’IA pour améliorer leurs techniques offensives.
1. Une arme à double tranchant pour les cybercriminels.
Les cybercriminels cherchent sans cesse des moyens d’identifier des vulnérabilités exploitables dans les systèmes informatiques. Avec l’aide d’outils basés sur l’IA, ils pourront automatiser leur recherche de failles à une échelle beaucoup plus grande.
Exemple : Imaginons un groupe de cybercriminels utilisant un modèle de langage similaire à Big Sleep. Leur objectif serait de repérer des failles dans des logiciels d’infrastructures critiques, comme ceux des hôpitaux, des réseaux de transport ou des services publics. Grâce à l’accès aux librairies de code source de nombreuses solutions comme SQLite, l’IA pourrait accélérer la détection de vulnérabilités non corrigées. Cela permettrait aux criminels de cibler des failles exploitables à grande échelle. Ils pourraient ainsi lancer des attaques plus puissantes et potentiellement plus lucratives.
2. Exploitation par les États et la menace géopolitique
Plus inquiétant encore est le risque que des États malveillants utilisent l’IA pour intensifier leurs activités de cyber espionnage et de sabotage. De nombreux pays investissent déjà massivement dans la technologie pour surveiller, influencer et déstabiliser des rivaux géopolitiques. Une IA avancée dans la détection de vulnérabilités pourrait leur permettre de découvrir des failles dans les systèmes de leurs adversaires, d’accéder à des informations sensibles ou de perturber des infrastructures critiques.
Voici un exemple: un gouvernement hostile pourrait utiliser l’IA pour détecter des failles dans les systèmes d’approvisionnement en énergie d’un pays rival, permettant ainsi des attaques qui perturbent l’économie ou mettent en danger des infrastructures essentielles.
Vers un futur de régulation en cybersécurité ?
Alors que les technologies d’IA continuent de progresser, le secteur de la cybersécurité se retrouve à un carrefour. D’un côté, des outils comme Big Sleep offrent aux défenseurs suffisamment évolués, une puissance nouvelle pour sécuriser leurs systèmes et réduire les attaques potentielles. De l’autre, ces mêmes outils représentent une menace en raison de leur potentiel à être utilisés de manière offensive.
Les États et les entreprises cherchent déjà à mettre en place des mesures de régulation pour limiter les risques associés à l’IA. Des initiatives de partage d’information sur les menaces, des standards éthiques pour le développement de l’IA et des programmes internationaux de coopération seront nécessaires pour limiter l’utilisation abusive de ces outils.
Tout cela semble prometteur, mais de nombreuses entreprises ont encore du mal à appliquer les correctifs fournis par les manufacturiers de logiciels. Il n’est pas rare que même des organisations bien nanties repoussent indéfiniment les mises à jour de sécurité, ce qui augmente leur exposition aux attaques. Si les fabricants de logiciels commencent à utiliser sérieusement l’IA pour éliminer plus de failles avant la mise en production, cela pourrait théoriquement réduire le besoin de correctifs ultérieurs, simplifiant ainsi la gestion des vulnérabilités pour leurs clients.
Cependant, j’ai des doutes. Cela ne résoudra pas tout. Les vulnérabilités liées à des configurations spécifiques, les failles exploitables dues à un manque de compétences ou de vigilance, ainsi que les choix risqués pour éviter les frictions avec les utilisateurs resteront des points faibles. Ces points faibles, une bonne IA pourra les repérer rapidement, encore plus rapidement qu’un «bon» cybers criminels.
Pourra-t-on mettre en place des réglementations qui encouragent les entreprises à développer un code plus sécurisé et à renforcer leurs contrôles de sécurité ? Cette pression pourrait émaner des assureurs en cybersécurité, des investisseurs désireux de protéger leurs intérêts ou d’autres parties prenantes influentes. Il est certain que ces innovations dans l’IA vont accélérer les changements dans l’industrie de cybersécurité et pourraient transformer les pratiques de manière significative.
Adoption généralisée nécessaire
L’annonce de Google concernant Big Sleep est une avancée importante en cybersécurité. Cette IA permet de détecter les vulnérabilités «zéro-day» plus efficacement que jamais. Elle donne aux défenseurs de nouveaux moyens pour réduire les cyberattaques. Elle complique également la tâche des attaquants.
Cependant, son potentiel d’utilisation à des fins malveillantes montre qu’une technologie aussi puissante doit être adoptée de manière généralisée par les manufacturiers de logiciels et par toutes les organisations qui déploient des technologies. Parce que de l’autre côté, des acteurs malveillants chercheront à tirer parti de ces avancées pour exploiter les failles, ce qui impose aux défenseurs d’intégrer massivement cette technologie dans leurs pratiques de sécurité.
Ces nouvelles capacités vont sans aucun doute provoquer des changements profonds dans l’industrie, entraînant une transformation des pratiques de cybersécurité à grande échelle. Les prochains mois s’annoncent fascinants, alors que nous observerons par quels acteurs et de quelle manière s’établiront les nouvelles règles du jeu.
