Le Machine-Learning pour assister la cybersécurité ou la cybercriminalité ?

publié par Bitdefender Enterprise France, le 03 mars 2017

Pour mener à bien leurs stratégies d'attaques, les cybercriminels n'ont pas encore adopté le machine-learning. Et ils ne le feront certainement pas de sitôt.

 

L'industrie de la cybersécurité a toujours fait l'objet d'une pression constante émanant des cybercriminels et des malwares. Du fait de l’intégration grandissante des ordinateurs, logiciels et services informatiques dans notre quotidien, la mission d’assurer la sécurité des données est de plus en plus difficile.

Les divers outils dont les cybercriminels disposent aujourd'hui, ont soulevé de vives inquiétudes auprès des entreprises de sécurité : ces criminels sont aujourd'hui la principale menace et peuvent créer, diffuser, et pénétrer les zones de défense d'une cible, par le biais de malwares inédits et sur mesure. L'industrie de la sécurité a donc dû adopter de nouvelles méthodes pour faire face à l'inconnu, en s'appuyant notamment sur les puissantes capacités des algorithmes de Machine-Learning.

 

La cybersécurité et le Machine-Learning

 

Les menaces ciblées et avancées dont l'objectif est d'attaquer les structures et entreprises, parviennent souvent à échapper aux mécanismes de sécurité traditionnels. Les algorithmes de Machine-Learning ont permis de combler l'écart observé entre la proactivité et la détection. Alors que les humains sont excellents pour effectuer des analyses en profondeur et identifier les subtilités de code sur des échantillons malveillants, le Machine-Learning est en revanche beaucoup plus performant pour appliquer des modèles sur des quantités de données volumineuses, sans jamais se fatiguer ni se plaindre de la redondance de ces tâches.

Dans un contexte de données volumineuses, où tout ce qui est connecté à Internet (des appareils connectées aux endpoints physiques et virtuels) est une source d'information ou un point d'attaque potentielle, le Machine-Learning peut être utilisé pour décrypter, analyser et interpréter les données, en ne déployant que très peu d'efforts.

En revanche, l'élément humain est en charge d'assurer l'exactitude du modèle de Machine-Learning, tout comme sa pertinence. Forts de plusieurs années d'expérience en rétro-ingénierie d'échantillons de malwares et en analyse des techniques d'attaque, les spécialistes de la cybersécurité sont généralement ceux qui transfèrent leur expertise vers les algorithmes de machine-learning, formant ces derniers à analyser les comportements et à détecter les anomalies. Allant des réseaux de neurones artificiels aux algorithmes génétiques, ces algorithmes de machine-learning ont pour objectif ultime de s'adapter aux variations des comportements fondamentaux.

 

Les cybercriminels utilisent-ils le machine-learning ?

 

La réponse est Non ! Parce qu'ils disposent déjà d'un large éventail d'outils et mécanismes capables non seulement de développer de nouveaux malwares, mais aussi de s'assurer que chaque nouvel échantillon de malwares est unique.

L'obfuscation et le polymorphisme sont deux modèles que les cybercriminels utilisent pour créer et diffuser des échantillons de ransomwares, aussi bien auprès des particuliers que des professionnels. Ceux-ci sont tellement efficaces qu'on estime que les ransomwares ont provoqué au moins 1 million de dollars de pertes financières sur la seule année 2016.

Le cryptage est un autre outil puissant et régulièrement utilisé par les cybercriminels pour camoufler l'exfiltration de données, voire même extorquer de l'argent aux victimes. L'objectif premier de l'industrie de la cybercriminalité étant de créer de nouveaux mécanismes de conditionnement pour les échantillons de malwares de manière continue, et pas nécessairement de réfléchir à de nouveaux comportement ou techniques d'attaques innovantes. Le machine-learning n'est donc pas un prérequis : en revanche les algorithmes doivent être constamment ajustés, et les fonctions d'obfuscation ou algorithmes de cryptage, en perpétuelle évolution pour pouvoir contrer efficacement ces mécanismes.

 

Le Machine-Learning : mécanisme d'attaque ou de défense ?

 

Appliqué dans un « cyber » contexte, les fonctions actuelles du Machine-Learning sont essentiellement défensives. Le Machine-Learning aide l'industrie de la sécurité à faire face à près de 500 millions d'échantillons de malwares. Les cybercriminels n'ont pas encore adopté le machine-learning et ils ne le feront certainement pas de sitôt.

Bien qu'il y ait eu des exemples d'algorithmes de Machine-Learning dressés les uns contre les autres  (l'un visant à détecter les vulnérabilités des logiciels, l'autre à les réparer), ces exercices ne sont utilisés qu'à des fins de démonstration…

Bien sûr, le machine-learning peut être utilisé pour ses capacités offensives, notamment lorsqu'il est appliqué dans l'industrie du jeu vidéo, car il peut être formé pour se défaire des ennemis virtuels avec la même précision que ses homologues humains. Cependant, celles-ci n'ont pas encore été utilisées dans le cadre d'activités cybercriminelles.

Bitdefender Enterprise France

Bitdefender est le spécialiste européen des solutions antimalware. Ses technologies proactives classées n°1 en détection et en prise de ressources par les organismes de tests indépendants protègent plus de 500 millions d’utilisateurs.