IA & IOT

Swiss Cyber Security Days: attaquer c’est facile, défendre c’est compliqué

Alors que les cas de cyberattaques se multiplient, la brochette d’experts réunis lors des premiers Swiss Cyber Security Days a abordé quelques un des enjeux du moment: Comment rendre les objets connectés moins vulnérables? Comment faire pour que l’intelligence artificielle ne serve pas seulement à pirater mais aussi à détecter les intrusions?

Quatre tracks parallèles, des conférenciers réputés, un village exposant. Il y a avait à boire et à manger aux Swiss Cyber Security Days pour quiconque s’intéresse à la sécurité informatique - quelle entreprise oserait dire aujourd’hui qu’elle ne s’y intéresse pas? Il y a avait donc du monde à la première édition de la manifestation qui s’est tenue cette semaine à Fribourg, des curieux et des professionnels.

Retour sur trois moments de la 2ème journée, entre découvertes et punch lines, où il est beaucoup question d’objets connectés et d’intelligence artificielle…

«… et à la fin c’est le responsable IT qui se fait virer»

Expert réputé en sécurité IT, Mikko Hyypönen (F-Secure) a fait un bilan de la situation actuelle dans le domaine. Premier constat: on sait que les attaques peuvent coûter beaucoup d’argent. L’opérateur américain Verizon ayant par exemple abaissé de 350 millions de dollars son offre de reprise de Yahoo, après que ce dernier s’est fait voler 3 milliards de comptes mail. Pourtant, malgré des pertes colossales, les entreprises survivent, et c’est leurs responsables IT (CIO, CTO, CISO, etc.) qui paient les pots cassés et se font remercier…

Deuxième constat: à moins qu’elles soient le fait d’un Etat, les attaques sont motivées par l’argent. Pour une entreprise, se protéger se résume donc à faire en sorte que le retour sur investissement des pirates soit négatif, ou moins bon que chez une autre cible…

Troisième constat: les systèmes sont de plus en plus complexes, les applications sont releasées de plus en plus vite, et tout cela ce n’est pas très bon pour la sécurité.

Quatrième constat: l’internet des objets n’est pas fait d’appareils intelligents , mais d’appareils stupides. Preuve en est, le botnet Mirai qui a infecté des millions d’objets connectés (en particulier des caméras), en exploitant le fait qu’ils employaient le mot de passe par défaut.

«La définition d’un objet connecté, c’est un objet infecté par Mirai»

CTO de la société Evrythng, dont la plateforme connecte bientôt un milliard d’objets, Dominique Guinard est un expert renommé de l’IOT et connaît bien la problématique de leur sécurité. En préambule à sa présentation, il a tenté de définir ce qu’est un objet connecté: il dispose nécessairement d’une identité digitale et il est connecté à Internet, et il est souvent équipé de senseurs et de la capacité d’agir. «Ou alors, on peut dire qu’un un objet connecté, c’est un objet infecté par Mirai», a-t-il plaisanté.

Pour ce spécialiste renommé, les objets connectés ont un énorme potentiel et trois mesures basiques permettent d’y apporter un minimum de sécurité. Démo à l’appui, il a distillé trois recommandations. D’abord fermer les ports inutiles et éviter à tout prix les mots de passe par défaut. La Californie a récemment édicté une loi qui interdit cette pratique pour les objets connectés, a-t-il rappelé. Deuxièmement, mettre régulièrement à jour le firmware des objets connectés. Comment? En incitant les utilisateurs à accepter des updates automatiques dès la mise en route de leur appareil, et en pratiquant des déploiements tests sur un groupe restreint d’objets (canary updates). Troisièmement, éviter les communications non-chiffrées, une capacité technique disponible aujourd’hui sur des systèmes très bon marché, avec toutefois des contraintes, par exemple dans l’emploi de certificats en mode local (sans passer par internet). «La sécurité qui existe sur le web est aussi la meilleure pour l’IOT», a résumé l’expert de Evrythng.

Quid de la blockchain? Egalement connaisseur du domaine (il contribue au Blockchain Research Institute), Dominique Guinard a balayé l’idée de sécuriser l’IOT avec une chaîne de blocs, les gigantesques volumes de données générées en permanence par les objets connectés ne pouvant être absorbés dans la blockchain. En revanche, la technologie pourrait avoir d’autres usages, notamment comme annuaire décentralisé des identités numériques des objets, ou plus inédit, pour permettre des mises à jour décentralisées des appareils dans la durée, même si le fabricant n’existe plus.

«Nous sommes devenus les entraîneurs des algorithmes des hackers»

L’intelligence artificielle était naturellement à l’agenda des Swiss Cyber Security Days. Alors que les éditeurs chantent les atouts de l’IA pour la sécurité, plusieurs intervenants ont insisté sur les conditions de ce succès.

Pour TK Keanini, ingénieur distingué chez Cisco, une défense robuste est le résultat d’une combinaison de multiples techniques: machine learning, mais aussi analyse de schémas récurrents (patterns), méthodes statistiques ou encore règles prohibant certains usages et configurations. Il a aussi appelé l’audience à challenger les éditeurs: «Il y a beaucoup de fausses promesses et peu de clarté autour de l’intelligence artificielle de leurs solutions». Pour l’expert, le machine learning est particulièrement performant pour détecter une intrusion en identifiant des comportements inhabituels s’écartant de la norme dans la masse des données collectées.

Responsable sécurité pour la clientèle entreprise de Swisscom, Marco Wyrsch a présenté un outil de détection de hameçonnage s’appuyant justement sur cette approche. Développée par l’opérateur, la solution Phisherman (pêcheur) analyse les e-mails envoyés aux collaborateurs et, lorsqu’une URL suspecte est détectée, une intelligence artificielle parcourt la page-cible pour déterminer s’il s’agit d’une tentative de phishing.

Mais, le machine learning est aussi un outil très utile pour les hackers, a rappelé Alessandro Trivilini, Responsable du service de forensique numérique à la Haute-école du Tessin (SUPSI). Les pirates s’en servant notamment pour analyser si leurs attaques fonctionnent ou non et en tirer des enseignements en permanence. «Nous sommes devenus les entraîneurs des algorithmes des hackers», a averti l’expert. Avant de souligner qu’à ce jeu IA contre IA, les hackers ont l’avantage: «Ils ont l’argent, ils ont les données, et ils n’ont pas de règles…»

Tags
Webcode
DPF8_128338