Le paysage de la cybersécurité évolue rapidement, l’intelligence artificielle (IA) y jouant un rôle de plus en plus important. Les modèles d’IA générative sont désormais capables de créer du code d’exploitation à des vitesses remarquables, réduisant considérablement la fenêtre d’opportunité pour les défenseurs de répondre aux vulnérabilités. Ce changement, motivé par la capacité de l’IA à analyser et à comprendre le code complexe, pose de nouveaux défis aux organisations qui s’efforcent de protéger leurs systèmes.
La vitesse d’exploitation : Une question d’heures
Le calendrier traditionnel entre la divulgation d’une vulnérabilité et la création d’une preuve de concept (PoC) d’exploitation a été considérablement raccourci grâce aux capacités de l’IA générative. Ce qui prenait autrefois des jours ou des semaines peut maintenant être accompli en quelques heures.
Matthew Keely, un expert en sécurité chez ProDefense, a démontré cette rapidité en utilisant l’IA pour développer un exploit pour une vulnérabilité critique dans la bibliothèque SSH d’Erlang en un après-midi seulement. Le modèle d’IA, tirant parti du code d’un correctif publié, a identifié les failles de sécurité et a conçu un exploit. Cet exemple met en évidence comment l’IA peut accélérer le processus d’exploitation, ce qui représente un défi redoutable pour les professionnels de la cybersécurité.
L’expérience de Keely a été inspirée par un article de Horizon3.ai, qui traitait de la facilité de développer du code d’exploitation pour le bogue de la bibliothèque SSH. Il a décidé de tester si les modèles d’IA, en particulier GPT-4 d’OpenAI et Claude Sonnet 3.7 d’Anthropic, pouvaient automatiser le processus de création d’exploits.
Ses conclusions ont été stupéfiantes. Selon Keely, GPT-4 a non seulement compris la description des Common Vulnerabilities and Exposures (CVE), mais a également identifié le commit qui a introduit le correctif, l’a comparé avec l’ancien code, a localisé la vulnérabilité et a même écrit une PoC. Lorsque le code initial a échoué, le modèle d’IA l’a débogué et corrigé, démontrant ainsi sa capacité à apprendre et à s’adapter.
Le rôle croissant de l’IA dans la recherche de vulnérabilités
L’IA a prouvé sa valeur à la fois pour identifier les vulnérabilités et pour développer des exploits. Le projet OSS-Fuzz de Google utilise de grands modèles de langage (LLM) pour découvrir les failles de sécurité, tandis que des chercheurs de l’Université de l’Illinois à Urbana-Champaign ont démontré la capacité de GPT-4 à exploiter les vulnérabilités en analysant les CVE.
La vitesse à laquelle l’IA peut désormais créer des exploits souligne le besoin urgent pour les défenseurs de s’adapter à cette nouvelle réalité. L’automatisation du pipeline de production d’attaques laisse aux défenseurs un temps minimal pour réagir et mettre en œuvre les mesures de sécurité nécessaires.
Déconstruire le processus de création d’exploits avec l’IA
L’expérience de Keely consistait à demander à GPT-4 de générer un script Python qui comparait les segments de code vulnérables et corrigés dans le serveur Erlang/OPT SSH. Ce processus, connu sous le nom de ‘diffing’, a permis à l’IA d’identifier les changements spécifiques apportés pour corriger la vulnérabilité.
Keely a souligné que les diffs de code étaient essentiels pour que GPT-4 crée une PoC fonctionnelle. Sans eux, le modèle d’IA avait du mal à développer un exploit efficace. Initialement, GPT-4 a tenté d’écrire un fuzzer pour sonder le serveur SSH, démontrant ainsi sa capacité à explorer différents vecteurs d’attaque.
Bien que le fuzzing n’ait peut-être pas révélé la vulnérabilité spécifique, GPT-4 a réussi à fournir les éléments de base nécessaires à la création d’un environnement de laboratoire, y compris les Dockerfiles, la configuration du serveur Erlang SSH sur la version vulnérable et les commandes de fuzzing. Cette capacité réduit considérablement la courbe d’apprentissage pour les attaquants, leur permettant de comprendre et d’exploiter rapidement les vulnérabilités.
Armé des diffs de code, le modèle d’IA a produit une liste de changements, incitant Keely à s’enquérir de la cause de la vulnérabilité.
Le modèle d’IA a expliqué avec précision la justification de la vulnérabilité, détaillant le changement de logique qui a introduit une protection contre les messages non authentifiés. Ce niveau de compréhension met en évidence la capacité de l’IA non seulement à identifier les vulnérabilités, mais aussi à comprendre leurs causes sous-jacentes.
Suite à cette explication, le modèle d’IA a offert de générer un client PoC complet, une démo de style Metasploit ou un serveur SSH patché pour le traçage, démontrant ainsi sa polyvalence et ses applications potentielles dans la recherche de vulnérabilités.
Surmonter les défis : Débogage et raffinement
Malgré ses capacités impressionnantes, le code PoC initial de GPT-4 ne fonctionnait pas correctement, ce qui est courant avec le code généré par l’IA qui s’étend au-delà de simples extraits.
Pour résoudre ce problème, Keely s’est tourné vers un autre outil d’IA, Cursor avec Claude Sonnet 3.7 d’Anthropic, et lui a confié la tâche de corriger la PoC non fonctionnelle. À sa grande surprise, le modèle d’IA a corrigé avec succès le code, démontrant ainsi le potentiel de l’IA à affiner et à améliorer ses propres sorties.
Keely a réfléchi à son expérience, notant qu’elle avait transformé sa curiosité initiale en une exploration approfondie de la façon dont l’IA révolutionne la recherche de vulnérabilités. Il a souligné que ce qui nécessitait autrefois des connaissances spécialisées en Erlang et un débogage manuel approfondi peut maintenant être accompli en un après-midi avec les bonnes invites.
Les implications pour la propagation des menaces
Keely a souligné une augmentation significative de la vitesse à laquelle les menaces sont propagées, en raison de la capacité de l’IA à accélérer le processus d’exploitation.
Les vulnérabilités sont non seulement publiées plus fréquemment, mais elles sont également exploitées beaucoup plus rapidement, parfois quelques heures après leur publication. Ce calendrier d’exploitation accéléré laisse aux défenseurs moins de temps pour réagir et mettre en œuvre les mesures de sécurité nécessaires.
Ce changement se caractérise également par une coordination accrue entre les acteurs de la menace, les mêmes vulnérabilités étant utilisées sur différentes plateformes, régions et industries dans un laps de temps très court.
Selon Keely, le niveau de synchronisation entre les acteurs de la menace prenait autrefois des semaines, mais peut maintenant se produire en une seule journée. Les données indiquent une augmentation substantielle des CVE publiés, reflétant la complexité croissante et la rapidité du paysage des menaces. Pour les défenseurs, cela se traduit par des fenêtres de réponse plus courtes et un besoin accru d’automatisation, de résilience et de préparation constante.
Se défendre contre les menaces accélérées par l’IA
Lorsqu’on l’a interrogé sur les implications pour les entreprises qui cherchent à défendre leur infrastructure, Keely a souligné que le principe fondamental reste le même : les vulnérabilités critiques doivent être corrigées rapidement et en toute sécurité. Cela nécessite une approche DevOps moderne qui donne la priorité à la sécurité.
Le changement clé introduit par l’IA est la vitesse à laquelle les attaquants peuvent passer de la divulgation d’une vulnérabilité à un exploit fonctionnel. Le délai de réponse se réduit, ce qui oblige les entreprises à considérer chaque publication de CVE comme une menace potentielle immédiate. Les organisations ne peuvent plus se permettre d’attendre des jours ou des semaines pour réagir ; elles doivent être prêtes à répondre dès que les détails sont rendus publics.
S’adapter au nouveau paysage de la cybersécurité
Pour se défendre efficacement contre les menaces accélérées par l’IA, les organisations doivent adopter une posture de sécurité proactive et adaptative. Cela comprend :
- Prioriser la gestion des vulnérabilités : Mettre en œuvre un programme robuste de gestion des vulnérabilités qui comprend l’analyse régulière, la priorisation et la correction des vulnérabilités.
- Automatiser les processus de sécurité : Tirer parti de l’automatisation pour rationaliser les processus de sécurité, tels que l’analyse des vulnérabilités, la réponse aux incidents et l’analyse du renseignement sur les menaces.
- Investir dans le renseignement sur les menaces : Se tenir informé des dernières menaces et vulnérabilités en investissant dans des flux de renseignement sur les menaces et en participant à des communautés de partage d’informations.
- Améliorer la formation à la sensibilisation à la sécurité : Éduquer les employés sur les risques de phishing, de logiciels malveillants et d’autres cybermenaces.
- Mettre en œuvre une architecture Zero Trust : Adopter un modèle de sécurité Zero Trust qui suppose qu’aucun utilisateur ou appareil n’est approuvé par défaut.
- Tirer parti de l’IA pour la défense : Explorer l’utilisation d’outils de sécurité alimentés par l’IA pour détecter et répondre aux menaces en temps réel.
- Surveillance et amélioration continues : Surveiller en permanence les contrôles et les processus de sécurité, et apporter les ajustements nécessaires pour rester à l’avant-garde des menaces en constante évolution.
- Planification de la réponse aux incidents : Élaborer et tester régulièrement des plans de réponse aux incidents pour garantir une réponse rapide et efficace aux incidents de sécurité.
- Collaboration et partage d’informations : Favoriser la collaboration et le partage d’informations avec d’autres organisations et groupes industriels afin d’améliorer la sécurité collective.
- Chasse proactive aux menaces : Mener une chasse proactive aux menaces pour identifier et atténuer les menaces potentielles avant qu’elles ne causent des dommages.
- Adopter DevSecOps : Intégrer la sécurité dans le cycle de vie du développement logiciel pour identifier et corriger les vulnérabilités dès le début.
- Audits de sécurité et tests d’intrusion réguliers : Effectuer des audits de sécurité et des tests d’intrusion réguliers pour identifier les faiblesses des systèmes et des applications.
L’avenir de la cybersécurité à l’ère de l’IA
L’essor de l’IA dans la cybersécurité présente à la fois des opportunités et des défis. Bien que l’IA puisse être utilisée pour accélérer les attaques, elle peut également être utilisée pour renforcer les défenses. Les organisations qui adoptent l’IA et adaptent leurs stratégies de sécurité seront les mieux placées pour se protéger contre l’évolution du paysage des menaces.
Alors que l’IA continue d’évoluer, il est essentiel pour les professionnels de la cybersécurité de se tenir informés des derniers développements et d’adapter leurs compétences et leurs stratégies en conséquence. L’avenir de la cybersécurité sera défini par la bataille permanente entre les attaquants alimentés par l’IA et les défenseurs alimentés par l’IA. Dans ce contexte, l’apprentissage continu et l’adaptation constante seront les clés du succès. Il est également crucial de comprendre que l’IA n’est pas une solution miracle, mais plutôt un outil puissant qui doit être utilisé de manière stratégique et en conjonction avec d’autres mesures de sécurité. La collaboration et le partage d’informations entre les organisations seront également essentiels pour lutter contre les menaces de plus en plus sophistiquées. En fin de compte, la cybersécurité à l’ère de l’IA nécessitera une approche holistique et proactive qui combine la technologie, les processus et les personnes. La capacité à anticiper les menaces et à réagir rapidement sera cruciale pour maintenir la sécurité des systèmes et des données. La formation et la sensibilisation à la sécurité resteront également des éléments importants pour réduire le risque d’attaques réussies. En investissant dans ces domaines, les organisations peuvent se préparer à affronter les défis de la cybersécurité à l’ère de l’IA et protéger leurs actifs les plus précieux. L’avenir de la cybersécurité est incertain, mais une chose est claire : l’IA jouera un rôle de plus en plus important dans la façon dont nous nous défendons contre les cybermenaces. En adoptant l’IA et en adaptant nos stratégies de sécurité, nous pouvons nous assurer que nous sommes prêts à relever les défis qui nous attendent. La clé est de rester informé, d’être proactif et de ne jamais cesser d’apprendre.