Les principales menaces en 2018

L’intelligence artificielle: ami et assaillant

La course à l’armement entre cybercriminels et spécialistes de la sécurité IT se poursuit. Pour contrer l’usage malveillant de l’IA, les entreprises devraient employer des systèmes également basés sur l’IA.

Texte: Andreas Heer,

Dans un avenir proche, dans un recoin isolé d’Internet: des cybercriminels testent un logiciel malveillant qui essaie différents scénarios d’agressions. Une fois qu’il a atteint son but, il mute automatiquement. Les méthodes d’agression qui ont été efficaces sont enregistrées dans le code, les autres sont supprimées.

Quelques semaines plus tard. Le pare-feu d’une entreprise sonne l’alarme: un logiciel malveillant vient de frapper à sa porte. Le pare-feu a détecté un comportement suspect, indice d’une cyberattaque jusque là inconnue. Par auto-apprentissage, le logiciel de protection a tiré lui-même cette conclusion: pour cela, il a analysé des types d’agressions déjà connus et a repéré les points que ceux-ci avaient en commun avec la nouvelle attaque. Bienvenue dans le monde de la prochaine génération de sécurité IT! Elle repousse les attaques «intelligentes» en l’étant au moins tout autant.

Actuellement, ce type de scénario appartient encore à l’avenir. Le Swisscom Security Report place les attaques utilisant l’intelligence artificielle en deuxième position de son radar des menaces. En d’autres termes, les attaques basées sur l’intelligence artificielle seront bientôt réalité. «Pour la première fois, l’utilisation malveillante de l’intelligence artificielle apparaît sur notre radar. L’IA est entre autres utilisée pour lancer des attaques intelligentes contre lesquelles les mesures de protection traditionnelles sont sans effet», constate Panos Zarkadakis, vice-Chief Security Officer chez Swisscom.

Panos Zarkadakis, vice-Chief Security Officer chez Swisscom

Contrer les attaques grâce à l’intelligence artificielle

L’intelligence artificielle est d’ores et déjà employée pour lutter contre les attaques de cybercriminalité. Panos Zarkadakis cite en exemple la gestion des incidents: «Un système auto-apprenant est capable de détecter les ‹faux positifs› et allège ainsi la tâche des spécialistes de la sécurité.» Il s’agit là d’une application type de l’IA: la reconnaissance de formes.

Or, un allègement du travail des spécialistes de la sécurité est souhaitable, étant donné le manque de personnel disponible dans ce secteur. Et un manque d’expertise peut entraîner des problèmes de sécurité si le propre dispositif de défense existant n’est pas suffisamment armé contre les menaces actuelles et futures. Ou si les ressources ne sont pas suffisantes pour réagir rapidement aux attaques. En conséquence, Panos Zarkadakis conseille d’utiliser pour l’instant les systèmes d’IA comme soutien dans la cyberdéfense jusqu’à ce que cette technologie ait vraiment fait ses preuves.

Une vieille connaissance et de nouveaux chercheurs d’or

Pour le moment, la plus grande menace réside encore dans les logiciels malveillants traditionnels. Panos Zarkadakis nous explique pourquoi: «Les principales menaces que nous avons identifiées l’an dernier restent d’actualité. Il leur faut souvent plusieurs années pour se développer, cela est dans leur nature.»

Le réseau de Swisscom confirme d’ailleurs cette thèse. «Conficker» y est «l’hôte indésirable»» le plus souvent rencontré. Cette vieille connaissance, connue aussi sous le nom de «Downadup», est un ver informatique apparu il y a 10 ans et a été à l’origine de 40% du trafic «Call Home» détecté dans le réseau de Swisscom. Environ 10% de ce trafic était issu du ransomware «WannaCry», apparu il y a un peu plus d’un an avec une demande de rançon affichée sur les écrans, notamment sur les écrans d’affichage de la Deutsche Bahn.

Cependant, les cybercriminels semblent déplacer leurs activités: «On constate que les malwares sont de plus en plus utilisés pour le vol de ressources IT. Ils sont notamment employés pour le minage de bitcoins», observe Panos Zarkadakis.

«On constate que les malwares sont de plus en plus utilisés pour le vol de ressources IT. Ils sont notamment employés pour le minage de bitcoins»

observe Panos Zarkadakis.

Au lieu de demander à leurs victimes une rançon sous forme de cryptodevises, les assaillants préfèrent les miner eux-mêmes.

Des logiciels de minage basés sur JavaScript, par exemple Coinhive, exploitent les ressources d’un ordinateur pendant que son utilisateur navigue sur un site Internet et ne se doute de rien. Dans certains cas, cela peut être relativement inoffensif. Toutefois, si les ordinateurs des entreprises et les environnements virtuels sont largement touchés, le cryptominage peut entraîner une nette augmentation de la consommation de ressources. Dans les cas inoffensifs, seuls les frais d’électricité augmentent, mais dans les cas de grande envergure, le fonctionnement des systèmes de l’entreprise en est affecté.

Le «concours de minage» entre assaillants et défenseurs continue donc à aller bon train. Mais comment les entreprises peuvent-elles réagir à la situation changeante des menaces? Panos Zarkadakis, expert en matière de sécurité, émet une recommandation claire: «La meilleure protection, c’est d’étudier et de connaître les assaillants et leurs méthodes. On peut y parvenir grâce à la threat intelligence, et aux capacités de détection et de réponse. De plus, les grandes entreprises, devraient développer et étendre dans le cadre de leur stratégie de numérisation les compétences d’intelligence artificielle et de machine learning. Et mettre l’accent sur la cybersécurité.»

Cyrill Peter, directeur des activités de sécurité pour grands clients

«Une détection précoce nous permet de mieux protéger nos clients»

Comment un fournisseur d’infrastructures tel que Swisscom peut-il contribuer à protéger les clients contre les cyberattaques? Cyrill Peter, directeur des activités de sécurité pour grands clients, répond à nos questions.

Une question plutôt rhétorique: quelle importance le fournisseur Swisscom accorde-t-il à la sécurité?

Cyrill Peter: en tant que fournisseur d’infrastructures critiques, la sécurité est pour nous évidemment un facteur essentiel. Nous investissons beaucoup dans ce secteur. Cela concerne aussi bien la protection de notre propre infrastructure que les services de sécurité que nous proposons à nos clients. Pour cela, nous employons plus d’une centaine de spécialistes de sécurité en Suisse et avons également créé les structures nécessaires, notamment un Security Operation Center occupé 7j/7 et 24h/24.

Dans quelle mesure les clients Swisscom profitent-ils de nos propres expériences?

En tant que fournisseur suisse, nous connaissons exactement les dangers et menaces qui règnent actuellement dans notre pays et sommes capables de réagir à l’avance. Nos clients en profitent directement. Nous découvrons par exemple beaucoup de sites de phishing avant la plupart des fournisseurs de logiciels antivirus et antiphishing. Ainsi, nous pouvons mieux et plus rapidement protéger les clients suisses.

Et en quoi consiste concrètement cet avantage?

Premièrement, nous veillons à ce que tous nos services aient une protection de base élevée. Deuxièmement, nous proposons la plus large palette de services de sécurité gérés de toute la Suisse et nos clients commerciaux peuvent les acquérir en fonction de leurs besoins. Par ailleurs, nous perfectionnons sans cesse nos services de sécurité selon la situation actuelle des menaces. À l’automne dernier, nous avons notamment lancé le service «Threat Detection & Response». Il permet la détection et la défense précoces contre les cybermenaces.

Hand with smartphone

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?

> Inscription

En savoir plus sur ce thème