Le futur du cybercrime ou comment résister aux attaques générées par ia
Ceci est un premier jet de discours pour l'évenement "Puy de Recherche" 2025. Il s'agit d'un discours de vulgarisation scientifique où j'évoque ma vision du futur du paysage cybercriminel. N'hésitez pas à me donner vos retours.
Vous le savez, notre monde est interconnecté. Etude FBF-IFOP 2024 : 94% des français utilisent une application bancaire ou consultent le site internet de leur banque. La plupart des services et des institutions utilisent des voies numériques pour communiquer avec leurs clients ou leurs bénificiaires. Pour fonctionner ces systèmes se basent sur des infrastructures et des applications qui sont utilisées tout les jours. Du point de vue des pirates, c'est tout un océan qui se révèle devant eux, avec beaucoup de trésors à la clef.
Ce soir je vais vous parler de cybersécurité, ou comment des pirates hackent ces infrastructures pour y collecter des informations ou saboter des systèmes pour leurs propres profits. Plusieurs chiffres pour visualiser un peu ce dont on parle : D'après Statista , en France, le coût annuel du cybercrime est évalué en 2024 à environ 119 milliards d'euros. Pour se donner un ordre de grandeur, le budget de l'éducation nationale c'est plus ou moins 65 milliards (selon le budget) Le cybercrime s'elevait, selon cette même plateforme, à 5.1 milliard en 2016.
Pour être clair, on ne parle pas de 119 milliards d'euro prelevés en volant des cartes bleues, les façons dont le cybercrime peut être nefaste sont très diverses : Cyberespionnage, ransomware, ou déni de service. Les méthodes sont nombreuses, on va faire un tour d'horizon de ce que tout ça veut bien vouloir dire.
- Le phishing est la forme d'attaque la plus importante. Vous connaissez le principe, il s'agit d'envoyer un mail ou un sms et vous donner un sentiment d'urgence. "Vite il faut changer de mot de passe, sinon vous allez perdre votre compte", "Vous avez une amende à payer en suivant tel lien" ou encore le classique "On a récupéré votre historique, ce n'est pas joli joli et nous allons tout divulguer à votre famille et votre entreprise si vous ne nous ne payez pas". Les entreprises signalent que c'est 60% de vecteur d'entrée d'attaque subit. Un peu dans le même genre l'"Arnaque au président" que je range au même endroit, où vous recevez un faux mail d'un supérieur, demandant à financiers de l'entreprise de réaliser un virement immédiatement.
- Les attaques par déni de service, qu'on parle d'approches massives ou plus fines, peuvent impacter la production d'un site web ou d'une institution.
- L'exploitation de vulnérabilité est largement utiliser. Certains logiciels ont des failles pouvant amener à un contrôle complet, à des fuites d'informations ou même à un déni de service.
- Il y a aussi le chiffrement par un ransomware, le chiffrement de donnée rendue innacessible par l'utilisateur, et où les données sont littéralement prise en otage contre une rançon. Vous avez probablement entendu parler des ransomware des hopitaux, on parle dans certains cas d'une dizaine de millions d'euro de rançon.
== Cela vaut donc le coup d'essayer de se défendre contre tout ça. Pour se rassurer un petit peu, il existe toujours des méthodes pour protéger ces infrastructures. Les detecteurs de faux mails ont un certain succès bien que difficile à évaluer, les vulnérabilités sont surveillées et cataloguées pour permettre aux équipes de sécurité de réagir rapidement. L'Agence Nationnale de la Sécurité des Systèmes d'information (ou l'ANSSI) propose des règles d'auditages et de certfication strictes, pour que des sites qu'on ne veux vraiment pas voir attaqué comme des sites militaires ou des centrales nucléaires. On forme du mieux qu'on peut les gens à éviter de se faire phishé.
Aujourd'hui se mène donc une guerre entre des entreprises et des pays d'un coté, et a des pirates (et un peu des pays) de l'autre. Cette guerre, le premier camp ne peut que en limiter les dégats. Le bilan c'est ce que je vous ai donné au début, entre 119 milliard en 2024 et très probablement plus en 2025 les tendances étant clairement à la hausse.
Tout ça donc c'est aujourd'hui, mais qu'en est-il de demain ?
Avant ça, petite question. Est-ce que selon vous, c'est "compliqué" d'attaquer une cible ? De pirater une entreprise? [...] En vérité, ça dépend beaucoup de la qualité de ce que vous faites. Envoyer un phishing de base c'est très simple, des scripts utilisant des listes de destinataire peut en envoyer des milliers très rapidement. Pareil pour une exploitation d'une vulnérabilité très simple, ça peut aller très vite : on teste la vulnérabilité en boucle sur des cibles choisies et on espère trouver une vulnérabilité. Mais pour ces deux cas, en général une approche non personalisée d'une attaque fonctionne mal. Pour le phishing je reviens rapidement dessus mais aujourd'hui on est tous conscient que ça existe, on y fait attention, et si le mail n'est pas "logique" alors on se méfie. En ce qui concerne l'exploitation de faille, elle demande souvent d'en exploiter plusieurs pour obtenir un résultat.
Moralité : ces attaquent peuvent fonctionner, il est tout fait possible de créer du bon phishing en se renseignant sur sa cible grâce aux réseaux sociaux, et forger un phishing beaucoup plus cohérent et efficace sur sa cible. On appelle ça du social engineering et ça peut prendre un peu de temps à mettre en place pour faire ça de façon réellement efficace.
Vous avez peut-être vu le nom du sujet de cette conférence, c'est là qu'entre en jeu l'intelligence artificielle. Cette dernière permet déjà de directement "augmenter" le phishing en utilisant du deepfake (génération d'une fausse image de quelqu'un connu ou non.) mais également permet de donner une autre dimension au "vishing" (phishing par appel vocal) en imitant une voix de quelque de connu ou de votre famile. Mais surtout, toute la recherche et le travail nécessaire pour collecter les informations nécessaire à un bon phishing disparait. "Dit moi chatgpt peut-tu me créer un scénario d'attaque par phishing pour récupérer le compte mail de Florent Durécu ? Tu peux utiliser en référence ses contacts linkedin, mais également leur voix dans d'éventuelles participation publiques" .. bon en principe, il devrait me dire que c'est pas bien d'attaquer les gens ; ne vous en faites pas pour les pirates, ils peuvent dors et déjà faire fonctionner leur propre Chat GPT débridé en local.
C'est presque plus évident encore pour l'exploitation de faille et intrusions. Hack the box est un site qui organise des "CTF" ou "Capture the Flag". C'est des compétitions normées entre spécialiste de découverte de vulnérabilité, ou un drapeau est accessible dans une infrastructure qu'il faut attaquer. Dans un article du 16 avril 2025, ils expliquent que pour ces epreuves (il y avait 7500$ à la clef) et contre 403 équipes d'experts, l'ia s'est placé 20ème avec 95% des challenges réussi, le temps étant également un critère d'évaluation. C'est un résultat que vous devriez trouver plutôt inquiétant.
Retour sur ma question de tout à l'heure, est-il difficile de détecter et bloquer ces différentes attaques ? C'est en fait exactement la même réponse. Des détecteurs automatiques existent déjà, mais l'ia peut s'entrainer à y résister. Mais le regard humain, d'expert du domaine, permet encore de déjouer les stratégies d'attaques de ces modèles d'IA. Et comme ces stratégies se basent sur des approches humaines (on peut supposer qu'ils ont appris à attaquer les infrastructures en utilisant des corrections de CTF entre autre) ça risque de rester longtemps le cas.
Vous allez me répondre "mais on vient de voir que les attaques compliquées se multiplieront ! On va pas avoir assez d'expert en sécurité, on a déjà une perte de 119 milliard !" et vous auriez raison. Il n'est pas possible de suivre la charge humainement, les communications frauduleuses se multipliant à grande vitesse et demandant beaucoup plus de café qu'il n'est possible d'en produire pour que les admins réseaux puissent être éveillé 24/24 et bloquer les flux "à la main". Il nous faudrait un outil qui serait capable, automatiquement, de prendre des décisions complexes très rapidement pour aider cet ingénieur réseau. Vous me voyez venir, on va encore utiliser l'ia.
Je cite "L'IA, maitre du jeu et du champ de bataille ?" de Rémy Hémez et Nicolas Minvielle pour l'armée de Terre (!) dans la deuxième édition d'Inflexions de cette année : "plusieurs recherches prouvent que des systèmes fondés sur l’apprentissage par renforcement, tels qu’AlphaStar de DeepMind, peuvent réagir en temps réel à des situations tactiques inédites. Ces outils de simulation, qu’ils soient utilisés dans des jeux de stratégie en temps réel comme StarCraft II ou dans des environnements militaires de simulation, offrent également la possibilité de répéter des centaines voire des milliers de scénarios, permettant ainsi d’analyser en profondeur chaque interaction, d’identifier des failles et d’évaluer les conséquences d’une action dans un cadre contrôlé."
l'analogie avec une attaque dans une infrastructure peut être faite. Aujourd'hui, il existe de nombreux constructeurs d'équipement de sécurité utilisant des briques d'IA dans leurs modèle de détection. Il s'agit de mon sujet de thèse : la détection d'intrusion sur les réseaux en utilisant l'intelligence artificielles. Les méthodes pour entrainer les modèles sont très nombreuses carte de l'infrastructure ou non, est-ce qu'on utilise des flux réseaux simplement ou est-ce qu'on utilise en entrée par exemple le nombre de machine ou leur état ? Comment peut-on gérer des attaques qui viennent tout juste de sortir ? (aussi appelée des 0-days)
Que ce soit l'attaque ou la défense par ia, les deux restent des "problèmes ouverts" où il reste de nombreuses choses à découvrir, démontrer, publier et déployer dans les infrastructures. Alors .. n'hésitez pas ! Engagez vous ! Le domaine manque de réponse donc de chercheur et d'ingénieur pour mettre en place ces projets.