[FIC 2024] “Pour les JO, les motivations des cyberattaquants vont être différentes”, selon Palo Alto Networks

L’Usine Digitale : Cette année va être une année de défi avec les Jeux Olympiques et Paralympiques (JOP) de Paris. Comment allez-vous agir, avant et pendant l’événement ? En 2022, vous aviez eu un rôle particulier à l’occasion de la Coupe du monde au Qatar…

Raphaël Marichez : Oui, Palo Alto Networks était dans le cockpit, dans le SOC [centre d’opérations de sécurité] de l’organisation de la Coupe du monde au Qatar. Les systèmes d’information de la Coupe du monde étaient protégés à la fois par des pare-feu et des outils de détection comportementale, à travers la plateforme de sécurité opérationnelle de Palo Alto Networks. Nous étions au cœur du dispositif.

Cette année, nous ne sommes pas partenaires officiels pour les JOP. Toutefois, lorsque j’interroge des RSSI pour savoir si des prestations de l’Unit 42 [l’équipe de conseil en sécurité de Palo Alto Networks, NDLR] les intéressent, trois quarts des réponses sont positives. Ceci pour deux raisons : tout d’abord, il faudra contextualiser les attaques subies, pour savoir à quel groupe de cyberattaquants elles sont attribuées, et le communiquer aux autorités. D’un point de vue technique, cela a peu d’importance de savoir si l’attaquant est Russe, Chinois ou Nord-coréen. Mais lorsque l’on fait de la communication politique aux dirigeants, ils en sont friands.

La deuxième raison est le débordement de capacités. En cas d’attaque systémique, comme sur la supply chain, la crainte est que ces acteurs habituels soient dépassés. Ce qui change la donne avec les JO, c’est cette prévision du débordement de capacités. Certains clients pensent qu’il y a un risque trop fort que les contrats auxquels ils ont souscrit ne soient pas suffisants. Ils voient le fait qu’on ne soit pas français comme un avantage, une complémentarité, car nous pourrons amener de la ressource humaine là où, ailleurs, elle serait saturée.

Prévoyez-vous alors une organisation spéciale pour les Jeux Olympiques ?

Nous allons proposer d’établir des points de contacts opérationnels privilégiés, avec Unit 42. Nous allons prédisposer du personnel Unit 42 en France, alors que normalement ils n’y sont pas présents, avant et pendant les JO, à partir du 30 juin. Ensuite, nous allons proposer à nos clients des exercices de crise sur la thématique des grands événements sportifs, et pas seulement des JO.

À ce propos, quelles vont être, selon vous, les principales cyberattaques, comment cela va se manifester ?

Je ne pense pas que les techniques d’attaques vont être différentes, ce sont surtout les motivations des cyberattaquants qui vont être différentes. Il y aura un effet opportuniste économique autour des points de vente, physiques ou en ligne. Cela va sortir du risque cyber : je ne pense pas aux places, qui sont déjà vendues, mais plutôt aux produits en ligne, avec de faux sites de vente pour piéger des gens.

Le deuxième aspect, ce seront des motivations de sabotage, notamment sur les infrastructures critiques, telles que les transports, l’énergie, les communications et les médias. Les médias sont une cible. Enfin, le troisième aspect est la revendication, avec des menaces d’État à État, soit sur tout ce qui va porter atteinte à l’image de la France.

Quelles sont, de manière générale en dehors des JO, les principales évolutions dans les techniques de cyberattaques ?

Le phishing est l’un des trois grands vecteurs d’intrusion pour un attaquant. Il y a deux ans, ceux qui sensibilisaient expliquaient qu’il fallait trouver des fautes grossières dans les mails de phishing. Aujourd’hui, avec la qualité des moteurs de traduction et les algorithmes d’IA générative en langage naturel, il est possible de rédiger un magnifique mail de phishing avec des éléments d’entreprise. ChatGPT ne va pas rédiger un mail de phishing, mais il existe d’autres outils, comme WormGPT ou FraudGPT. Il est aussi possible de détourner ChatGPT. C’est l’un des exemples où l’on observe une augmentation du taux de pénétration.

D’autre part, les attaques passant par la supply chain sont en train d’exploser, via le fournisseur de logiciels par exemple. Le troisième grand vecteur d’attaque, ce sont les outils qui permettent la prise en main à distance par nomadisme ou par un prestataire. C’est ce qui s’est passé avec Ivanti. Les attaques par prise en main à distance ont dépassé le phishing en termes de primo-compromission.

Est-ce que d’autres techniques se sont développées avec l’essor de l’IA générative ?

J’imagine que vous pensez à ChatGPT. Or l’algorithme génératif à base de réseau de neurones, en cyberoffensive, cela fait sept ans qu’il existe. Il permet de prendre une souche de malware connue par signature d’antivirus, et de créer des variations dans ce malware pour contourner les mécanismes de détection et de protection fonctionnant sur la base de signatures. C’est bien de l’IA générative, des réseaux de neurones génératifs (Generative Adversarial Networks), mais pas de langage naturel.

Ce qui a changé, avec les agents conversationnels en langage naturel, c’est la démocratisation de l’accès à la machine. Nous avons moins besoin qu’avant de connaître le code. Un gamin peut faire un scan sur un réseau, voir sur Internet pour chercher tel logiciel. Ces outils abaissent la barrière à l’entrée, l’expertise à l’entrée. C’est un appel d’air à des personnes qui ne sont pas tech, mais sensibles à la promesse de gain rapide, à s’insérer dans des organisations de ransomware. Ce n’est pas eux qui vont concevoir les attaques, mais qui vont les utiliser. Pour un responsable d’un groupe de ransomware, il sera plus facile d’aller recruter des gens qui n’y connaissent rien pour utiliser l’outil de ransomware-as-a-service. La phase de reconnaissance est devenue très facile grâce à l’IA générative.

Autre exemple, sur une base de données déjà piratée. Le cyberattaquant dispose d’un échantillon de mots de passe, dont il sait qu’ils fonctionnent pour une entreprise, mais ne connaît pas la politique de mots de passe. Avant, c’était de la force brute. Avec l’IA générative, un outil va pouvoir générer des mots de passe avec un dataset donné en apprentissage, à partir de ceux qui marchent. Les mots de passe générés auront une probabilité de fonctionner beaucoup plus importante. Une fois que l’attaquant est rentré, l’IA générative peut accélérer ses opérations.

Les grands modèles de langage (LLM) donnent aussi des possibilités. Par exemple, si après compromission d’un système, l’attaquant souhaite sortir de l’information pour la publier sur un forum de darkweb, en échange d’une demande de rançon. S’il n’a pas la rançon, il publie, sauf que dans l’entreprise il y a des téraoctets de données. Soit il va y passer trois semaines, soit il va être bruyant et se faire repérer par un SOC. Les LLM permettent d’indexer les échantillons de partage de fichiers, et l’IA vous dira si ce sont des données de nature financière, technique, industrielle, RH… L’IA va les classifier. L’attaquant pourra donc cibler sa réalisation d’objectifs sur les données qui l’intéressent.