« La paix est la vertu de la civilisation. La guerre est son crime. Pourtant, c’est souvent dans le fourneau de la guerre que se forgent les instruments les plus tranchants de la paix. » – Victor Hugo.
En 1971, un message inquiétant a commencé à apparaître sur plusieurs ordinateurs composant ARPANET, le précurseur de ce que nous connaissons aujourd’hui sous le nom d’Internet. Le message, qui disait « Je suis le Creeper : attrape-moi si tu peux », était le résultat d’un programme appelé Creeper, qui a été développé par le célèbre programmeur Bob Thomas alors qu’il travaillait chez BBN Technologies. Bien que les intentions de Thomas n’étaient pas malveillantes, le programme Creeper représente l’avènement de ce que nous appelons aujourd’hui un virus informatique.
L’apparition de Creeper sur ARPANET a ouvert la voie à l’émergence du premier logiciel antivirus. Bien que cela ne soit pas confirmé, on pense que Ray Thomlinson, connu pour avoir inventé le courrier électronique, a développé Reaper, un programme conçu pour supprimer Creeper des machines infectées. Le développement de cet outil utilisé pour traquer et supprimer de manière défensive un programme malveillant d’un ordinateur est souvent considéré comme la naissance du domaine de la cybersécurité. Il met en évidence une reconnaissance précoce de la puissance potentielle d’une cyberattaque et de la nécessité de mesures défensives.
La révélation de la nécessité de la cybersécurité ne devrait pas être une grande surprise, car le cyberespace n’est rien d’autre qu’une abstraction du monde naturel. De la même manière que nous sommes passés du combat à l’épée et à la lance à celui à la bombe et à l’avion, la guerre pour le cyberespace a progressé. Au début, tout a commencé avec un virus rudimentaire appelé Creeper, qui était une représentation effrontée de ce qui pourrait être un signe avant-coureur de la fin numérique. La découverte des systèmes électroniques militarisés a nécessité l’invention de solutions antivirus telles que Reaper, et à mesure que les attaques sont devenues plus complexes, les solutions défensives ont également progressé. Avec l’avènement des attaques en réseau, les champs de bataille numériques ont commencé à prendre forme. Les pare-feu ont émergé pour remplacer les vastes murs des villes, les équilibreurs de charge agissent comme des généraux dirigeant les ressources pour s’assurer qu’un point singulier ne soit pas submergé, et les systèmes de détection et de prévention des intrusions remplacent les sentinelles dans les tours de guet. Cela ne veut pas dire que tous les systèmes sont parfaits ; il y a toujours la crainte existentielle qu’un rootkit bienveillant mondialement favorisé que nous appelons une solution EDR puisse contenir une déréférence de pointeur nul qui agirait comme un cheval de Troie capable de bloquer des dizaines de millions d’appareils Windows.
En laissant de côté les situations catastrophiques, et même accidentelles, il reste la question de la suite. C’est là qu’intervient Offensive AI, l’arme cybernétique la plus dangereuse à ce jour. En 2023, Foster Nethercott a publié un livre blanc L’article du SANS Technology Institute détaille comment les acteurs malveillants pourraient exploiter ChatGPT avec des capacités techniques minimales pour créer de nouveaux logiciels malveillants capables d’échapper aux contrôles de sécurité traditionnels. De nombreux autres articles ont également examiné l’utilisation de l’IA générative pour créer des vers avancés tels que Morris II et des logiciels malveillants polymorphes tels que Black Mamba.
La solution apparemment paradoxale à ces menaces croissantes est de poursuivre le développement et la recherche d’une IA offensive plus sophistiquée. L’adage de Platon, « La nécessité est mère d’invention », caractérise parfaitement la cybersécurité d’aujourd’hui, où les nouvelles menaces générées par l’IA stimulent l’innovation de contrôles de sécurité plus avancés. Si le développement d’outils et de techniques d’IA offensive plus sophistiqués est loin d’être moralement louable, il continue d’apparaître comme une nécessité incontournable. Pour nous défendre efficacement contre ces menaces, nous devons les comprendre, ce qui nécessite de les développer et de les étudier davantage.
La logique de cette approche repose sur une vérité simple. Il est impossible de se défendre contre une menace que l’on ne comprend pas, et sans le développement et la recherche sur ces nouvelles menaces, nous ne pouvons pas espérer les comprendre. La triste réalité est que des acteurs malveillants exploitent déjà l’IA offensive pour innover et déployer de nouvelles menaces. Essayer de réfuter cette idée serait malavisé et naïf. C’est pourquoi l’avenir de la cybersécurité réside dans le développement de l’IA offensive.
Si vous souhaitez en savoir plus sur l’IA offensive et acquérir une expérience pratique de sa mise en œuvre dans les tests de pénétration, je vous invite à assister à mon prochain atelier à Sécurité du réseau SANS 2024: Offensive AI for Social Engineering and Deep Fake Development le 7 septembre à Las Vegas. Cet atelier sera une excellente introduction à mon nouveau cours, SEC535 : Offensive AI – Attack Tools and Techniques, qui sera publié début 2025. L’événement dans son ensemble sera également une excellente occasion de rencontrer plusieurs experts de premier plan en IA et d’apprendre comment elle façonne l’avenir de la cybersécurité. Vous pouvez obtenir les détails de l’événement et la liste complète des activités bonus ici.
Note: Cet article a été rédigé avec brio par Foster Nethercott, un vétéran du Corps des Marines des États-Unis et de l’Afghanistan qui compte près d’une décennie d’expérience dans le domaine de la cybersécurité. Foster est propriétaire de la société de conseil en sécurité Fortisec et est auteur pour le SANS Technology Institute, qui développe actuellement le nouveau cours SEC 535 Offensive Artificial Intelligence.