Les cyberattaques se multiplient avec des hackers de plus en plus organisés, qui s'en prennent à des fournisseurs informatiques susceptibles d'infecter leurs clients.

Des logiciels inutilisables, des serveurs informatiques inaccessibles, des données confidentielles publiées sur le Web. Les attaques informatiques n'ont jamais été aussi nombreuses. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a recensé 192 attaques l'an dernier, soit une multiplication par quatre en un an. Et 57 % des entreprises estiment avoir été victimes d'une attaque en 2020, selon le sondage réalisé par le Club des experts de la sécurité de l'information et du numérique (Cesin). Car l'environnement a changé, et les risques explosent. « On constate un basculement de la criminalité vers la cybercriminalité, car les gains peuvent être élevés pour un faible investissement et peu de risques », analyse Alain Bouillé, délégué général du Cesin.

Les attaques par rançongiciel (lire cicontre) apparues il y a quatre ans se sont ainsi multipliées. Pour les pirates, la porte d'entrée reste souvent le courriel et l'ouverture par un utilisateur d'une pièce jointe contenant un logiciel malveillant. « Les pirates sont patients. La phase d'intrusion et d'escalade dans un système d'information pour s'en rendre progressivement maître prend en moyenne vingt-neuf jours », explique Gérôme Billois, administrateur du Clusif (l'association de référence en matière de sécurité numérique en France) : « Ensuite, l'attaque proprement dite, qui bloque les postes de travail et chiffre les données pour les rendre inutilisables, ne dure pas plus de quelques dizaines de minutes. »

L'autre menace, régulièrement évoquée par l'Anssi, reste l'espionnage. « Il peut être le fait de services étrangers, mais aussi de la concurrence, qu'on oublie trop souvent. Aujourd'hui, le principal critère pour être attaqué, ce n'est plus la taille, mais la capacité d'innovation », insiste Rémy Février, maître de conférences au CNAM et ancien officier supérieur de la Gendarmerie nationale.

18.000 entreprises contaminées

Depuis la fin de l'année dernière, l'inquiétude est encore montée d'un cran. L'attaque subie par l'éditeur américain SolarWinds a marqué un tournant par son ampleur et sa sophistication. Orion, son logiciel de gestion de centre informatique, a été infecté par un code malveillant introduit par des pirates. Il a ensuite contaminé 18.000 entreprises par le biais d'une banale mise à jour. Du jamais-vu aux Etats-Unis. « Cela annonce le combat du futur : répondre à des attaques indirectes, via des fournisseurs dans lesquels les entreprises ont confiance », prédit Alain Bouillé. L'inquiétude est telle que l'Etat s'en mêle et vient de lancer son plan en faveur de la cybersécurité. Objectif : mobiliser les start-up et la recherche. « On assiste à un changement de paradigme. On passe de l'ère de la forteresse à un monde où l'on sait que l'attaque va arriver. Il faut donc s'y préparer », résume Gildas Avoine, responsable du Groupement de recherche Sécurité informatique porté par le CNRS. Certes, les outils existent déjà et les grandes entreprises disposent souvent d'une plateforme centralisée pour superviser de l'intérieur la sécurité de leur système d'information et repérer des attaques en cours grâce aux données de connexion de tous les serveurs. « Aujourd'hui, la complexité est telle qu'une gestion strictement centralisée trouve ses limites », nuance toutefois Loïc Guézo, secrétaire général du Clusif.

Les spécialistes mettent beaucoup d'espoir dans l'intelligence artificielle pour automatiser la lutte contre le piratage. Des techniques qui commencent à être déployées grâce à de jeunes entreprises comme Tehtris, qui a levé récemment 20 millions d'euros. « Nos robots sont dotés d'une intelligence artificielle pour surveiller et analyser les agents malveillants », assure Winston Delbey chez Tehtris. Il s'agit d'être plus efficace que les antivirus classiques, qui ne détectent que les « signatures » de virus déjà connus. La société piste ainsi les cybercriminels sur le Darknet avant leurs méfaits, pour essayer de connaître leurs méthodes, leurs codes malveillants, voire identifier leurs cibles.« Nous soumettons ces données à nos intelligences artificielles, afin qu'elles apprennent à différencier ce qui est dangereux et ce qui ne l'est pas », assure Winston Delbey.

L'IA et le cybercentaure

Il reste pourtant beaucoup de travail, estiment les chercheurs. « Le machine learning constitue un espoir, mais la révolution, observée dans le traitement d'image ou la traduction, n'a pas encore eu lieu. On est encore en phase d'évaluation. On constate toutefois que ces systèmes font parfois aussi bien que des humains. Ce qui laisse entrevoir une possibilité d'automatisation », précise Gildas Avoine. Les progrès vont être lents, car le machine learning exige de grandes quantités de données pour entraîner les algorithmes. C'est là tout le problème. « Ces données correspondent à des attaques passées subies par les entreprises. Elles sont donc sensibles et les entreprises sont réticentes à les communiquer. Sans accès à ces données, les progrès seront difficiles », reconnaît le chercheur.

Certains s'alarment aussi de voir l'intelligence artificielle servir aux pirates eux-mêmes pour duper les systèmes de cybersécurité. En 2016, l'Agence américaine pour les projets de recherche avancée de défense (Darpa) n'a-t-elle pas organisé une compétition, dans laquelle l'intelligence artificielle servait à attaquer les réseaux adverses tout en protégeant le sien ? Si bien que d'autres pistes sont étudiées.« L'intelligence artificielle permet de fabriquer un double du système d'information, une sorte de jumeau numérique. Cela permet de simuler des attaques informatiques », explique Marc Oliver Pahl, qui dirige la chaire sur la cybersécurité de l'école IMT Atlantique.

Pour d'autres, l'avenir est à la collaboration entre l'humain et la machine. Le CEA travaille ainsi à un programme Cybercentaure. « L'objectif est de décharger l'expert des tâches répétitives et consommatrices de temps, pour lui permettre de concentrer son analyse sur les points les plus intéressants non traités par les automatismes. L'intérêt de l'intelligence artificielle étant « d'apprendre » les gestes des opérateurs, ou d'accélérer son raisonnement », explique Florent Kirchner, chef du département ingénierie logiciels et systèmes du CEA List.

A plus long terme, un autre danger menace déjà la cybersécurité : l'informatique quantique. Au-delà des promesses dans le domaine de la météorologie ou de la santé, l'ordinateur quantique pourra briser les systèmes de cryptage actuels qui constituent le fondement de la cybersécurité, notamment pour la protection des données. « Les scientifiques travaillent déjà sur cette cryptographie postquantique », promet David Pointcheval, spécialiste du sujet à l'Ecole normale supérieure. Quelles que soient les évolutions technologiques, il ne faudra pas oublier le facteur humain. « Il faut investir dans l'éducation. Que la sécurité informatique ne soit plus optionnelle dans les grandes écoles et que la question des données personnelles soit enseignée dès le collège », insiste Marc Oliver Pahl. « L'être humain constitue le maillon faible. Si on ne sensibilise pas tous les membres de l'organisation au risque cyber, la sécurité restera lettre morte », prédit Rémy Février.

Les mots-clés

Rançongiciel (ransomware) : logiciel malveillant chiffrant les données et les rendant inaccessibles, dans le but de demander une rançon à l'utilisateur en échange d'une clé.

Hameçonnage (phishing) : technique frauduleuse destinée à leurrer l'internaute pour l'inciter, à partir d'un faux message (courriel, SMS ou appel téléphonique), à communiquer des données personnelles.

Zombie : ordinateur infecté par un virus et contrôlé à l'insu de son utilisateur par un pirate informatique qui l'utilise pour attaquer d'autres ordinateurs en dissimulant sa véritable identité.

Faille : défaut de protection dans un logiciel ou un ordinateur qui permet une intrusion à distance.

La réalité virtuelle au secours des CyberCop

Des spécialistes de la cybersécurité, coiffés d'un casque de réalité virtuelle, navigant dans les entrailles du système d'information pour regarder les flux de données entre ordinateurs. La scène n'existe aujourd'hui qu'en laboratoire, notamment au sein de l'école IMT Atlantique. « Le postulat est que la vision et le cerveau humain permettent de repérer des choses qu'un algorithme ne verrait pas », assure Thierry Duval, chef du département informatique. Les contours d'un premier système, baptisé « 3D CyberCop », ont été mis au point. « Les industriels sont intéressés. Après une première thèse, ils viennent d'ailleurs d'en financer une seconde », note Thierry Duval.