IA et cyberattaques (1/2) LV 224
Le lien entre l'intelligence artificielle et les cyberattaques n'a curieusement pas été suffisamment exploré. Dans une série de deux articles, nous analyserons comment les deux se nourrissent mutuellement, que ce soit pour la défense ou pour l'attaque, quelles missions et quels procédés peuvent êtreLe lien entre l'intelligence artificielle et les cyberattaques n'a curieusement pas été suffisamment exploré. Dans une série de deux articles, nous analyserons comment les deux se nourrissent mutuellement, que ce soit pour la défense ou pour l'attaque, quelles missions et quels procédés peuvent être mis en œuvre. Dans cette première partie, nous retraçons les grandes étapes de l'évolution de la cyberconflictualité depuis la révolution copernicienne de l'attaque contre l'Estonie en 2017.
La cybersécurité a pris une ampleur et une complexité que l’on ne soupçonnait pas hier,
leslors des premières cyberattaques de 2007 en Estonie ; en parallèle, l’intelligence artificielle (IA) a investi nos vies de manière plus ou moins ouverte. Or il n’existe pas de cartographie à ce jour de la manière donc on peut se servir d’IA dans ces cyberattaques : entamons donc cet inventaire.
Le numérique a investi notre société, il nous entoure, nous possède et nous transforme. L’informatique a quitté le monde de la recherche, de l’université ou des forces armées, elle modèle désormais durablement nos modèles de société, il est question de « transformation digitale » depuis quelques années. Plus personne ne peut s’imaginer un monde sans internet, sans téléphones portables ou ordinateurs. Le fait numérique s’est démocratisé et n’est plus remis en cause, mais les effets de bord négatifs deviennent plus visibles. Les progrès fulgurants en intelligences artificielles génératives inquiètent, ainsi que la généralisation d’agressions dans le cyberespace sous toutes ses formes, notamment les rançongiciels.
Pourtant, le lien entre les deux n’a pas été suffisamment exploré. Après un rappel historique de quinze années de cyber-conflictualité, nous présenterons lors d’un prochain billet un petit aperçu des progrès de l’IA, afin de dresser les missions et les procédés tactiques qui existent.
Trois couches du cyberespace
Définissons le cyberespace : selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), il s’agit de l’« espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques » (Stratégie de la France, ANSSI, 15 février 2011, p. 21). Cette définition est bonne, mais est focalisée sur la mise en réseau d’équipements informatiques et ne parle pas de la finalité du nouvel outil. Cet espace sert à la communication.
La définition de l’OTAN est à ce sujet plus intéressante : « l’environnement informationnel (EI) comprend l’information elle-même, les individus, organisations et systèmes qui la reçoivent, la traitent et la transmettent, et l’espace cognitif, virtuel et physique dans lequel cela se produit. » (MC 422/4 2012). L’espace cognitif, virtuel et physique renvoie à la modélisation du cyberespace en trois couches superposées, telle une pyramide inversée, où le pyramidion serait la couche physique, d’objets tangibles nécessaires au fonctionnement du cyberespace (ex : circuit imprimé, câble, fibre, antenne) ; cette couche physique supporte et fournit les capacités pour la couche logicielle, c’est-à-dire les programmes informatiques qui tournent sur ces appareils physiques (ex : logiciel) ; cette couche logique enfin permet le fonctionnement de la couche sémantique, la base la plus large de la pyramide, c’est-à-dire les échanges qui se font entre personnes, par machines et par logiciels interposés, échanges qui véhiculent du sens. Cette communication est la finalité de la mise en réseau des ordinateurs.
Chaque couche peut elle-même se subdiviser de manière plus ou moins haute et basse : dans la couche matérielle, un ordinateur ou un téléphone est un assemblage complexe de composants physiques ; dans la couche logique, un « noyau » de programme va lancer des programmes plus complexes, comme les systèmes d’exploitation, qui supportent des logiciels de plus en plus intelligibles par l’être humain, comme les logiciels de bureautique ou de jeux par exemple ; dans la couche sémantique, un simple échange par messagerie électronique entre deux personnes est un point de départ, mais les échanges sur internet, une énorme partie du cyberespace, car reliant un nombre gigantesque de serveurs et de terminaux (ordinateurs et téléphones) sont protéiformes et infinis en complexité.
15 ans de cyber-conflictualité
Ce développement sur les trois « couches » est indispensable pour comprendre toute la surface d’attaque possible dans le cyberespace. La genèse d’internet, un monde de télécommunications instantanées où les États n’avaient pas de contrôle centralisé, explique l’innocence dans laquelle le monde occidental a baigné. Le réveil a été la paralysie en 2007 de la société estonienne par des attaques de déni de service distribué, DDoS (distributed denial of service), à l’occasion d’une affaire de déplacement d’un monument dédié à l’armée rouge. Le monde a découvert alors que la conflictualité avait investi le cyberespace et que la société civile était devenue une cible de choix. Si aujourd’hui, une attaque DDoS est considérée comme très peu sophistiquée, l’agression en 2007 de l’Estonie via le cyberespace fut une révolution copernicienne.
Deux affaires méconnues en France marquèrent définitivement l’émergence de l’espionnage étatique dans le cyberespace et les conséquences que cela eut pour la société civile. En 2011, il s’avéra que l’autorité de certification néerlandaise Diginotar avait été compromise et que les agresseurs utilisaient leurs accès pour générer de faux certificats, indispensables pour le bon fonctionnement des signatures électroniques et du chiffrement asymétrique de flux sur internet. Les géants américains de l’internet s’étant aperçu de l’attaque voulurent révoquer publiquement la confiance accordée à Diginotar, ce qui aurait eu des conséquences désastreuses pour la société civile, surtout aux Pays-Bas, car la quasi-totalité des sites et des portails internet y utilisaient des certificats produits par cette entreprise. Si plus personne ne pouvait payer ses impôts, déclarer ses biens à la douane, se connecter à ses services en ligne, la paralysie aurait été totale. Le gouvernement néerlandais a dû peser de tout son poids pour négocier un sursis, prendre le contrôle – et structurer ses services d’enquête. Pour cette attaque, les indices pointent vers les services secrets iraniens, à des fins d’espionnage de dissidents et opposants iraniens, notamment en clonant les mires d’authentification gmail afin de récupérer les identifiants et mots de passe des Iraniens utilisant gmail, par définition suspects. Les grandes firmes américaines ont alors durci les exigences pour les autorités de certification d’une part et accéléré les travaux sur les moyens d’authentification forte d’autre part. Si aujourd’hui, vous devez confirmer votre identité en vous connectant à gmail, c’est en grande partie à cause de cette cyberattaque.
En 2012, ce fut au tour du fournisseur d’accès à internet belge Belgacom de s’apercevoir que son cœur de réseau à Bruxelles avait été compromis et que des informations fuitaient vers l’extérieur en continu. Après des déclarations tonitruantes du gouvernement belge absolument outré voulant poursuivre et punir l’agresseur, les résultats des actions correctrices étant restées vaines et les premiers indices pointant vers les services secrets britanniques et américains, l’affaire se termina en queue de poisson et personne ne fut incriminé. La Belgique, se sentant certes violée dans la confidentialité de ses données par l’intrusion d’alliés dans ses systèmes informatiques, accusa le coup, ne pouvant se permettre de se passer de l’aide, du soutien ni du renseignement fourni par ces mêmes alliés. Ce fut une preuve de l’efficacité d’opérations dans le cyberespace minutieusement préparées, où une combinaison de failles de sécurité exploitées via des accès d’administrateurs dupés, victimes de spear-phishing (ciblage informatique), mais identifiés via leur présence sur des réseaux sociaux sur internet (notamment LinkedIn) dans une phase d’ingénierie sociale, donc du renseignement d’origine source ouverte. De plus, la fiabilité dans des composants physiques (ex : routeurs) fut définitivement mise à mal : de lourds soupçons pèsent sur la capacité de ces équipements produits aux USA à être accessibles à l’envi par les services américains et c’est précisément cette même crainte qui pousse aujourd’hui les pays à interdire l’utilisation de ces mêmes équipements fournis par la Chine. Quitte à être espionnés, autant l’être par ses alliés…
Pourtant, dès 2010 avec la découverte du virus « Stuxnet », les spécialistes auraient dû ouvrir les yeux. Le paradigme absolu de la sécurité des systèmes d’information (SSI) pendant de longues années était la protection du réseau interne contre une intrusion provenant de l’extérieur. Les Américains ont reconnu avoir piloté une vaste opération avec des alliés, pour installer dans le site iranien de Natanz, isolé d’internet, un logiciel malveillant programmé pour se déclencher lorsqu’il reconnaissait certains logiciels dédiés au fonctionnement de centrifugeuses d’enrichissement d’uranium, faisant dysfonctionner ces appareils de manière imperceptible jusqu’à leur autodestruction soudaine, tout en modifiant les données transmises aux tableaux de contrôle.
En 2017, c’est l’invention et la vague des rançongiciels dans la guerre opposant la Russie à l’Ukraine qui révolutionne encore l’état de l’art des agressions cyber. Les dégâts dans la société civile furent colossaux, avec des usines entières à l’arrêt et des quantités importantes de matériels informatiques devant être réinitialisés totalement. Une attaque aveugle allait devenir le modèle commercial de toute une nébuleuse de cybercriminels, se professionnalisant en se structurant comme de véritables entreprises. La cybercriminalité rapporte beaucoup d’argent et il est probable que c’est une des manières pour l’État nord-coréen de se financer.
Le cyberespace n’est plus un monde ingénu d’échanges, mais un espace de bataille où tous les coups sont permis, faute de régulation. En seulement quinze ans, le cyberespace a définitivement changé de nature et est devenu anxiogène.
JOCVP
Pour lire l'autre article de LV 224, Changement de cycle en Afrique, cliquez ici.