Sur le site de l’Université de Lorraine à Nancy, le Loria (Laboratoire lorrain de recherche en informatique et ses applications), héberge des chercheurs de pointe en cybersécurité. En partenariat avec des start-up, certains se concentrent sur la collecte de données relatives aux malwares, dans le but de mieux les chasser grâce à l’intelligence artificielle. Un combat difficile.
« DefMal ». Derrière ce nom de code, se cache un projet lancé il y a un an par le centre de recherche lorrain Loria, qui réunit le CNRS, l’Inria et l’Université de Lorraine. Son objet ? Passer un cap en matière d’analyse de programmes malveillants à l’aide de l’intelligence artificielle, pour anticiper les mouvements des cyberattaquants. “L’un des principaux objectifs est de développer une nouvelle approche d’analyse et de détection grâce à une approche interdisciplinaire. Il s’agit d’analyser l’écosystème des virus et de mieux prédire les attaques grâce à une plateforme d’échanges d’informations ”, explique Jean-Yves Marion, professeur à l’Université de Lorraine, qui a dirigé le Loria pendant une décennie.
Le projet DefMal est doté de 5 millions d’euros et repose en grande partie sur les compétences réunies au sein d’un laboratoire de haute sécurité (LHS) situé à Nancy. Dans ce bureau ultra-sécurisé, protégé par une vitre qui résiste “à cinq coups de hache”, des chercheurs rivalisent d’ingéniosité pour connaître leurs ennemis, grâce à des « pots de miel ». “Ce sont des serveurs que nous créons et qui ont volontairement des vulnérabilités pour attirer les attaquants. Une fois l’attaque passée, on récupère les informations et on ferme le serveur”, raconte Jean-Yves Marion. Au fil des mois, les chercheurs disposent d’une importante masse de données disponible pour entraîner des intelligences artificielles capables ensuite de reconnaître des attaques. Le moteur d’intelligence artificielle peut en effet reconnaître la structure d’un code, mais également la manière dont celui-ci se comporte au sein d’un système d’information.
Lutter contre les « variants »
“Dès les années 90, le jeu a été d’identifier les codes malveillants. Mais aujourd’hui, l’IA ouvre de nouvelles opportunités. » commente Gérome Billois, associé au sein du département cybersécurité et confiance numérique de Wavestone, une entreprise de conseil. « Cette idée n’est pas neuve mais on gagne clairement en efficacité aujourd’hui et plusieurs centres de recherches et startup se sont positionnés sur ce sujet porteur” décrit-il.
Au Loria, les chercheurs s’appuient sur la dynamique entrepreneuriale pour avancer plus vite : le projet DefMal se fait avec la participation de start-up comme Cyber-Detect. Née à Nancy, au sein même du centre de recherche, cette entreprise s’est spécialisée dans l’analyse morphologique des logiciels malveillants. “De plus en plus les malwares sont construits spécifiquement pour attaquer une entreprise en particulier”, estime Régis Lhoste, président de l’entreprise et ancien chercheur du Loria. “Chaque malware est donc potentiellement nouveau et il peut même se transformer au fur et à mesure des exécutions”.
Le rapprochement avec l’image du virus n’a donc jamais été aussi pertinente et le dirigeant emploie d’ailleurs volontairement un lexique sanitaire pour expliquer comment l’IA permet de mieux détecter des fonctionnalités malveillantes au sein d’un programme. “Notre logiciel Gorille analyse et caractérise les malwares et leurs comportements malicieux. Le but est d’avoir une approche relativement résistante aux « variants » d’une souche, mais également de détecter quand un hacker a réécrit une fonctionnalité connue dans un autre langage de programmation par exemple”.
Le long chemin vers la détection automatique
Selon l’un des hackers éthiques travaillant au sein du LHS, il ne faut que trois jours pour créer un nouveau malware. L’IA doit donc fournir une aide précieuse pour s’adapter à ces changements incessants, même si elle ne peut aujourd’hui pas détecter un programme malveillant complètement nouveau. “Il faut entraîner et réentraîner régulièrement l’IA pour qu’elle soit toujours à jour dans son niveau de défense”, reconnaît Gérôme Billois. “Tant qu’il y a des similitudes avec un code existant, cela peut bien fonctionner mais quand le code est tout nouveau, on atteint la limite de la reconnaissance de l’IA”, précise-t-il.
L’intelligence artificielle pourrait-elle demain prendre complètement la main sur la détection et la luttre contre les malwares ? “Son efficacité ultime sera atteinte quand une IA pourra lancer d’elle-même une défense automatisée. Mais l’IA en cybersécurité n’est pas encore 100 % fiable. Aujourd’hui, si l’une d’elles lance des corrections de systèmes de manière automatisée, cela pourrait créer des dégâts encore plus importants”, nuance Gérôme Billois. Cet usage des technologies d’intelligence artificielle n’est d’ailleurs pas testé au sein du Loria. Si la fiabilité des détections augmente, il reste encore bien du chemin à l’IA en cybersécurité.