L'IA peut-elle identifier les vulnérabilités ?
Pourquoi l'IA est une arme à double tranchant en matière de sécurité
Pour le meilleur ou pour le pire, l'IA pourrait être bien adaptée à la découverte de vulnérabilités
À mesure que l'intelligence artificielle (IA) progresse, les entreprises et les gouvernements s'efforcent de trouver la meilleure application possible. Si ChatGPT et d'autres grands modèles linguistiques (LLM) ont capté l'attention des médias, les scénarios d'utilisation potentiels de l'IA sont bien plus vastes que la génération de texte. L'un de ces domaines est la sécurité, notamment la tâche répétitive, de grande ampleur, que constitue l'identification des vulnérabilités des logiciels.
Toutefois, la question de savoir si l'IA renforce ou affaiblit la sécurité dépend de la personne ou de l'objet qui accomplit l'identification des vulnérabilités, ainsi que de l'objectif poursuivi.
L'inévitable réalité des vulnérabilités
Certaines failles dans les logiciels sont essentiellement bénignes. D'autres failles, en revanche, connues sous le nom de vulnérabilités, peuvent permettre à un acteur malveillant d'établir une présence dans un système afin de le compromettre. Une part importante de la pratique de la cybersécurité est consacrée à l'identification et à la correction de ces vulnérabilités.
Le nombre de vulnérabilités exploitées menant à une compromission est trop élevé pour être énuméré, mais voici quelques exemples d'incidents très médiatisés :
La violation de données subie par Equifax en 2017, à l'origine de laquelle se trouvait une vulnérabilité non corrigée
La violation de données subie par LastPass en 2022 était, en partie, causée par une vulnérabilité dans un logiciel tiers.
Les systèmes informatiques du gouvernement norvégien ont été piratés en 2023, conséquence d'une vuln�érabilité zero-day.
Les conséquences de l'exploitation des vulnérabilités peuvent être désastreuses, et s'étendre de fuites de données jusqu'à des infections par rançongiciel qui bloquent les systèmes d'une entreprise. Les entreprises doivent identifier et corriger les vulnérabilités le plus rapidement possible, afin d'éviter de telles situations.
Découverte automatisée des vulnérabilités
L'analyse de programmes logiciels complexes à la recherche d'erreurs est une tâche répétitive qui semble se prêter à l'automatisation. Le célèbre technologue Bruce Schneier l'a observé : « L'examen ligne par ligne du code est exactement le genre de problème fastidieux auquel les ordinateurs excellent, si seulement nous pouvions leur apprendre à quoi ressemble une vulnérabilité. »
En effet, l'apprentissage automatique (un sous-ensemble des capacités de l'IA) est depuis longtemps utilisé pour détecter des vulnérabilités potentielles dans le code. GitHub, par exemple, intègre l'apprentissage automatique dans sa fonction d'analyse de code, afin d'identifier les failles de sécurité dans le code. Naturellement, cette approche donne parfois lieu à des faux positifs ; cependant, lorsqu'il est associé à une analyse manuelle, un modèle d'apprentissage automatique bien formé peut accélérer l'identification des vulnérabilités.
À l'heure où l'intelligence artificielle progresse à pas de géant, il est possible de former cette technologie à détecter encore plus efficacement les failles. D'ailleurs, en 2023, l'agence américaine DARPA a annoncé un programme intitulé Intelligent Generation of Tools for Security (INGOTS). (DARPA est, notamment, l'agence créatrice d'ARPANET, le précurseur de l'Internet).
Le programme « a pour but d'identifier et de corriger les vulnérabilités les plus sévères, pouvant être chaînées, avant que des acteurs malveillants ne puissent les exploiter » ; il utilise pour cela « de nouvelles techniques fondées sur l'analyse des programmes et l'intelligence artificielle pour mesurer les vulnérabilités. » INGOTS recherche des vulnérabilités dans les « systèmes modernes et complexes, tels que les navigateurs web et les systèmes d'exploitation mobiles ».
Mais l'IA est-elle réellement capable d'identifier efficacement les vulnérabilités ? DARPA cherche à le déterminer, mais son programme est encore quelque peu exploratoire.
IA contre pirates humains : l'IA peut-elle identifier les vulnérabilités ?
En 2016, DARPA a organisé l'événement « Cyber Grand Challenge », durant lequel sept équipes d'ingénieurs ont créé des programmes de piratage d'IA autonomes, puis se sont affrontées lors d'une partie numérique du jeu « Capture the Flag » (capturer le drapeau). L'objectif était de déterminer dans quelle mesure un programme automatisé pouvait pirater un système sécurisé. Après plusieurs heures, le programme « Mayhem », développé par une équipe de Carnegie Mellon, a remporté la compétition.
La conférence DEF CON 2016 se déroulait à proximité, et l'équipe créatrice de « Mayhem » a été invitée à participer au jeu Capture the Flag de DEF CON contre des pirates informatiques humains. Mayhem est arrivé en dernière position, et de loin.
L'IA a beaucoup progressé depuis, et les chercheurs continuent de publier des modèles d'apprentissage automatique dédiés à la découverte de vulnérabilités. Toutefois, les logiciels auscultés par les modèles d'apprentissage automatique les plus récents nécessitent toujours un examen humain pour éviter les faux positifs... ou les faux négatifs.
Il ne fait aucun doute que l'IA peut identifier des failles. Toutefois, les tests de pénétration réalisés par des humains semblent toujours rester pertinents. Cela pourrait changer à l'avenir, à mesure que l'IA devient plus performante.
L'IA peut-elle corriger les vulnérabilités ?
La correction d'une vulnérabilité consiste à écrire du code destiné à corriger la faille. Les outils d'IA peuvent certainement générer du code. Pour cela, toutefois, ils nécessitent des invites spécifiques, générées par leurs utilisateurs humains.
Même INGOTS ne propose pas de s'appuyer entièrement sur des processus automatisés pour remédier aux vulnérabilités, mais aspire plutôt à « créer un pipeline ordinateur-humain permettant une intervention humaine transparente, afin de remédier aux vulnérabilités les plus graves. »
Toutefois, la même mise en garde s'applique : à mesure que l'IA se perfectionne, elle pourrait être en mesure de générer rapidement et efficacement des correctifs, à l'avenir.
L'autre face : la chasse aux vulnérabilités par les acteurs malveillants
Il est inévitable que, si un outil ou une technologie est largement disponible, un camp l'utilise pour défendre les systèmes contre les attaques, tandis qu'un autre l'utilise pour lancer des attaques.
Si l'IA est capable d'identifier et de corriger efficacement les vulnérabilités des logiciels, les acteurs malveillants l'utiliseront certainement pour rechercher ces vulnérabilités avant qu'elles ne soient corrigées et pour écrire des scripts destinés à les exploiter.
Cependant, tous les cyber-acteurs malveillants n'ont pas accès à ces ressources. Ceux qui y ont accès, en revanche, n'auront probablement aucun scrupule à vendre les vulnérabilités détectées par leurs IA (ou les scripts d'exploitation des vulnérabilités qu'ils écrivent) au plus offrant, sur le dark web. Les auteurs de logiciels malveillants intègrent déjà l'IA dans leurs outils, et ils continueront certainement à le faire au fur et à mesure que l'IA progressera.
La possibilité d'une course aux armements toujours plus intense, pilotée par l'IA, entre les développeurs de logiciels légitimes et les acteurs malveillants, dans laquelle les vulnérabilités sont identifiées et exploitées presque instantanément (ou, espérons-le, corrigées tout aussi rapidement) se profile à l'horizon.
Bien entendu, les acteurs malveillants auscultent déjà le code à la recherche de vulnérabilités non découvertes. Ces vulnérabilités zero-day sont extrêmement précieuses, et peuvent être soit utilisées par celui qui les découvre pour pirater un système, soit revendues à prix d'or sur les marchés clandestins. L'utilisation malveillante de l'IA pourrait changer la donne, mais c'est toujours la même chose.
L'IA peut-elle écrire des scripts d'exploitation de vulnérabilités ?
À l'instar des correctifs, c'est possible ; toutefois, le processus nécessite toujours une assistance humaine. Il est donc possible qu'il ne réduise pas le travail pour les acteurs malveillants – et beaucoup achètent de toute façon des kits d'exploitation de vulnérabilités, plutôt que d'écrire leur propre code.
La réponse pourrait évoluer, d'ici 10 ou même 5 ans, et les responsables de la sécurité devraient se préparer à faire face à une vague d'exploitations de vulnérabilités entièrement automatisées ciblant leurs systèmes.
Se prémunir contre l'exploitation des vulnérabilités avec la sécurité Zero Trust
Tous les réseaux sont vulnérables à la compromission ; en effet, avec suffisamment de temps, et en présence d'un acteur malveillant déterminé, la compromission est inévitable.
Même si l'IA offre aux entreprises qui aspirent à sécuriser leurs systèmes un nouveau monde de possibilités de découverte des vulnérabilités, les acteurs malveillants utiliseront les mêmes méthodes pour essayer d'identifier les vulnérabilités en premier, ou du moins, avant qu'elles ne puissent être corrigées. L'IA devient un atout supplémentaire de la suite d'outils des acteurs malveillants, tout comme elle l'est pour le camp des utilisateurs légitimes.
Les entreprises prévoyantes partent du principe qu'une compromission s'est produite : leur dispositif de sécurité peut être vaincu, leurs données sont menacées et des acteurs malveillants peuvent déjà s'être infiltrés sur le réseau.
Elles considèrent que leur sécurité externe n'est pas toujours parfaitement opérationnelle et micro-segmentent donc leurs réseaux, afin que les acteurs malveillants ne puissent pas étendre leur champ d'action au-delà du segment auquel ils ont déjà eu accès. Réfléchissez à cette analogie : un navire peut comporter des compartiments étanches séparés, permettant d'�éviter qu'une fuite ne se propage. Idéalement, les équipes de sécurité peuvent utiliser cette même approche pour contenir les attaques.
Cette approche de la sécurité est appelée « Zero Trust », et l'adoption grandissante de cette philosophie est fondée sur des raisons fortes. Tandis que les outils basés sur l'IA permettent un nombre croissant d'exploitations de vulnérabilités, la sécurité Zero Trust peut aider à garantir que ces intrusions soient confinées à un secteur fortement restreint du réseau, et que l'acteur malveillant ne puisse jamais établir une présence suffisante pour causer de réels dommages.
La découverte d'exploitations de vulnérabilités peut s'accélérer, mais la sécurité Zero Trust offre le plus d'espoir pour l'avenir. Par ailleurs, Cloudflare est l'unique fournisseur à consolider les technologies Zero Trust telles que les passerelles Secure Web Gateway (SWG), le filtrage DNS et la prévention des pertes de données (DLP, Data Loss Prevention) sur une plateforme unique, dotée d'un tableau de bord unifié – une plateforme offrant des points de présence dans le monde entier. La nature distribuée du réseau Cloudflare permet d'appliquer un contrôle d'accès granulaire et par défaut sur cloud et sur les applications sur site, sans aucune latence ajoutée à l'expérience de l'utilisateur.
En réalité, Cloudflare a adopté l'approche Zero Trust pour sécuriser son réseau et ses collaborateurs contre les attaques. Découvrez comment Cloudflare permet aux entreprises de faire de même.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Approfondir le sujet
Pour en savoir plus sur la sécurité Zero Trust, consultez le livre blanc A Roadmap to Zero Trust Architecture.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Pourquoi l'IA est bien adaptée à l'identification des vulnérabilités, avec quelques mises en garde
Comment les deux camps dans la bataille de la sécurité peuvent utiliser l'automatisation pour exploiter ou corriger les vulnérabilités.
Pourquoi le compromis est l'approche la plus sûre