Cybercriminalité : entre IA et informatique quantique, la résilience s’organise

0

La-Femme (Cybercriminalité) – Depuis la pandémie de Covid et la montée des tensions internationales, les spécialistes en cybersécurité enregistrent de nouvelles typologies d’attaques. Elles sont de plus en plus orchestrées à des fins d’extorsion d’argent ou de revente de données sur le « dark web », mais aussi de destruction…

Les attaquants sont de plus en plus visibles et sans limites, comme le montrent les attaques répétées contre les hôpitaux et les ONG », constate un responsable de Tenacy, la start-up lyonnaise cofondée par Cyril Guillet et Julien Coulet. « La frontière est devenue floue entre les cybercriminels et les organisations étatiques. Historiquement, les nouvelles technologies étaient utilisées à la fois par les attaquants et par la défense. Or, désormais, les attaquants jouent sans limites, éthiques ou légales ; ils sont en général plus rapides pour profiter des évolutions dans le cadre de la cyber-guerre ».

En témoigne l’attaque historique de janvier 2024 contre deux géants du tiers-payant de l’assurance maladie en France, Viamedis et Almerys. La CNIL en a officialisé l’ampleur : plus de 33 millions de personnes touchées, suite à une usurpation d’identifiants chez des professionnels de santé. L’un des assureurs a averti : « Vous êtes susceptibles de recevoir des courriels ou SMS frauduleux, qui pourraient vous paraître réalistes. »

Quinze virements frauduleux pour un total de 23 M€…

Les experts en cybersécurité constatent une sophistication inquiétante. Un exemple : le media RTHK (Radio Television Hong Kong) a relaté début février qu’un employé travaillant pour la succursale d’une multinationale a effectué quinze virements vers cinq comptes bancaires locaux pour un montant de 200 M HK$ (environ 23 M€). Après avoir reçu un message qui l’a d’abord intrigué, il a été invité, avec des précautions inhabituelles, à rejoindre une visioconférence où, a-t-il dit à la police de Hong Kong, figurait son directeur financier lui confirmant les ordres de virement.

Selon la police de Hong Kong, les pirates auraient détourné d’anciennes visioconférences mettant en présence plusieurs dirigeants de l’entreprise ; ensuite, avec des outils d’IA (intelligence artificielle dite deep fake), ils auraient reconstitué un échange plausible, probablement en utilisant un service de synthèse vocale IA (RVC, retrieval-based voice conversion) qui permet de modifier en temps réel une voix basée sur des échantillons d’enregistrement audio ; la voix est alors intégrée à des séquences vidéo à l’aide d’un programme de synchronisation du mouvement des lèvres.

L’IA et les craintes de l’informatique quantique

Ainsi, l’IA promue parangon du digital présente un revers de la médaille. Car elle aide les cybercriminels. Il existe sur le dark web des outils comme WormGTP utilisés par les « black hats » (hackers délinquants) ; en quelques minutes, ils créent des e-mails de phishing sophistiqués et peuvent lancer des attaques de compromission d’e-mails professionnels.

Côté positif, l’IA est utilisée par les développeurs de solutions de cybersécurité comme chez Infoblox, qui vient d’introduire une offre (SOC Insights) qui analyse en permanence les données relatives aux accès réseau ; elle fait des corrélations avec les menaces visant les noms de domaine, hiérarchise les alertes et recommande les actions à prendre. Chez d’autres éditeurs, l’IA traque les accès suspects.

Au-delà de l’IA, les cyber-experts entrevoient déjà une autre menace : les supercalculateurs d’informatique quantique ; ils seraient capables d’ouvrir les algorithmes de chiffrement ; ils pourraient percer les blockchains. Une nouvelle course est lancée : aux États-Unis, le NIST (National Institute of Standards & Technology) travaille déjà sur quatre nouveaux algorithmes.

Meilleure protection et gouvernance

Le chiffrement des données (encryption) reste un élément clé de l’arsenal de protection, mais n’est pas le seul. Selon le club d’experts Cesin (Sécurité de l’information et du numérique), les entreprises utilisent, en moyenne, une quinzaine de solutions ou services de cybersécurité. Le couple EDR (end-point detection and response) et MFA (authentification multi-facteur avec SMS ou e-mail, en plus du mot de passe) est considéré comme le plus efficace. Le concept « zero trust » (confiance zéro à tous niveaux) progresse, utilisé par 76 % des entreprises ; et 50 % s’appuient sur un SOC/VOC (security/vulnerability operation center). « Les solutions seules ne suffisent pas, il faut une bonne gouvernance pour les opérer et les exploiter au mieux », observe Mylène Jarossay, CISO du groupe LVMH et présidente du club Cesin. « Il faut mobiliser suffisamment de ressources humaines et mettre en place des processus adaptés. »

Les accès aux applications doivent être revus régulièrement : « Les exceptions ou privilèges d’accès doivent être rares et validés par les équipes de cybersécurité. Car les hackers apprennent à contourner les protections, y compris l’authentification multi-facteurs [MFA] ; par exemple, ils sollicitent de façon répétée les utilisateurs jusqu’à leur faire valider leur second facteur sur des connexions dont ils ne sont pas initiateurs [MFA fatigue], ou bien ils détournent le processus de changement de smartphone pour insérer un smartphone intrus comme second facteur. Donc, tous les processus doivent être bien sécurisés. »

Une surveillance permanente

La surveillance des accès dits « privilèges » est effectivement critique, car leurs détenteurs sont la cible ultime des cybercriminels. C’est le cheval de bataille de l’éditeur français Wallix. Chaque utilisateur, selon son rôle, ne doit avoir accès qu’à un nombre limité de ressources informatiques.

« Pour être efficaces, les dispositifs de protection doivent être au plus près du poste de travail. Le télétravail exige un dispositif de surveillance permanente, dépassant l’ancien concept de “périmètre protégé”. Cela implique un contrôle rigoureux des identités et des accès, adapté à un environnement où les utilisateurs peuvent se connecter de n’importe où », explique Emmanuel Barrier, directeur Cybersécurité chez Kyndryl France.

Mailinblack, la start-up de Marseille fondée par Thomas Kerjean, connue pour sa solution de filtrage des expéditeurs d’e-mails (Protect), propose depuis peu un « coffre-fort numérique » centralisé (Sikker) qui protège tous les accès des utilisateurs.

À Bordeaux, plus précisément sur le campus cybersécurité de Pessac, une autre start-up française, Tehtris, cofondée par Éléna Poincet et Laurent Oudot (deux anciens de la DGSE), s’est spécialisée dans l’analyse des comportements sur les réseaux. Sa solution, qui alerte sur les attaques, a été retenue par La Banque postale, Michelin, les métropoles de Bordeaux, Marseille…

Il reste que la technologie n’est pas la panacée :

« Aujourd’hui, la cybersécurité est avant tout une question de responsabilités partagées. Il est primordial d’adopter une posture de sécurité fondée sur trois piliers : l’humai