D’après un récent rapport publié par NCC Group, les modèles d’apprentissage machine suscitent de grands espoirs en ce qui concerne la détection d’attaques Zero day. Cependant, lorsqu’il s’agit de repérer des vulnérabilités dans le code grâce à l’IA générative, les résultats ne sont pas optimums.
L’expertise humaine reste indispensable
Un élément central de ce rapport réside dans la possibilité de nourrir un chatbot d’IA générative avec un code source en vue de dénicher d’éventuelles vulnérabilités et de mettre en exergue de manière précise les faiblesses à l’attention des développeurs.
Malgré les promesses et les améliorations de productivité qu’offre l’IA générative dans le processus de développement, les résultats demeurent mitigés,
D’après l’étude du NCC Group.
Il est clairement stipulé dans le rapport que,
Quelles que soient les promesses ou les insuffisances, l’intervention humaine, en l’occurrence celle d’un expert en cybersécurité, demeure un élément inéluctable.
Pour étayer cette affirmation, des exemples de code non sécurisé provenant de Damn Vulnerable Web Application (DVWA) ont été soumis à ChatGPT, avec pour mission de décrire les vulnérabilités potentielles dans ces extraits de code PHP non sécurisés. Les résultats obtenus se sont avérés mitigés et n’ont certainement pas instauré la confiance en tant que moyen fiable pour dénicher les vulnérabilités dans le code en cours de développement.
L’apprentissage machine « simple », efficace pour détecter les attaques « zero day »
Le rapport explore également un autre cas d’utilisation de l’IA dans le domaine de la cybersécurité défensive, axé sur l’emploi de modèles d’apprentissage machine (ML ou machine-learning) pour détecter et contrer les attaques « zero day » de manière automatisée, afin de protéger les utilisateurs contre les malwares.
À cette fin, NCC Group a soutenu un étudiant en master au sein du Centre for Doctoral Training in Data Intensive Science (CDT DIS) de l’University College London (UCL), pour la création d’un modèle de classification visant à déterminer si un fichier est un malware.
L’analyse des menaces implique la surveillance de multiples sources de données en ligne, fournissant des flux d’informations sur :
- les vulnérabilités récemment découvertes,
- les exploits en développement,
- les tendances et schémas de comportement des attaquants.
Le rapport explique que ces données sont souvent sous forme de texte non structuré provenant de forums, des médias sociaux et du dark web.
Cette approche permet aux collaborateurs en charge des mesures de sûreté de mettre en place des systèmes de surveillance ou de contrôle supplémentaires de manière proactive et préventive, en cas de menaces jugées sérieuses à l’encontre de leur entreprise ou de leur environnement technologique.