L’IA aide les espions américains à détecter les opérations de piratage furtives chinoises, selon un responsable de la NSA
NEW YORK CITY — Les technologies d’intelligence artificielle et d’apprentissage automatique aident la National Security Agency et d’autres agences gouvernementales américaines à détecter les cyberactivités malveillantes chinoises, a déclaré mardi un haut responsable du renseignement américain dans des remarques qui indiquent comment les agences de sécurité américaines utilisent la technologie pour améliorer les ordinateurs. défenses.
S’exprimant mardi lors de la Conférence internationale sur la cybersécurité à l’Université Fordham, Rob Joyce, directeur de la direction de la cybersécurité de la NSA, a déclaré que l’IA aide son agence à détecter les opérations chinoises ciblant les infrastructures critiques américaines qui pourraient échapper aux mesures défensives traditionnelles.
Les responsables du renseignement américain ont averti ces derniers mois que les groupes de pirates informatiques chinois ciblent de plus en plus les systèmes de production d’électricité, les ports et autres entités d’infrastructures critiques en utilisant des méthodes que les analystes appellent « vivre de la terre » – l’utilisation d’outils, de logiciels et de privilèges déjà présents. sur les réseaux pour atteindre divers objectifs. Les logiciels malveillants qui déclencheraient normalement les logiciels ou outils de détection ne sont jamais utilisés, ce qui les rend beaucoup plus difficiles à détecter.
Les opérations chinoises récentes ne s’appuient pas sur des logiciels malveillants traditionnels ou connus qui pourraient être facilement signalés sur la base de signatures, a expliqué Joyce. Au lieu de cela, les pirates profitent des failles ou des mauvaises configurations de mise en œuvre de l’architecture, ou des mots de passe par défaut pour accéder aux réseaux, créer des comptes ou des utilisateurs qui semblent légitimes, qui sont ensuite utilisés pour se déplacer sur les réseaux ou effectuer des activités que les utilisateurs typiques ne font normalement pas. faire.
Les outils d’IA aident la NSA à détecter ces opérations. « L’apprentissage automatique, l’IA et le Big Data nous aident à faire apparaître ces activités », a déclaré Joyce, car les modèles sont plus efficaces pour détecter le comportement anormal d’utilisateurs supposés légitimes.
Les progrès récents en matière d’IA et d’apprentissage automatique ont suscité des inquiétudes parmi les chercheurs et les responsables de la sécurité, car ils pourraient constituer un avantage pour les cyberopérations offensives, mais Joyce a déclaré mardi qu’il était encouragé par les dividendes défensifs offerts par la technologie.
« Vous allez voir que des deux côtés, les personnes qui utilisent l’IA/ML réussiront mieux », a déclaré Joyce.
Joyce, ses collègues de la NSA et d’autres agences avertissent depuis des mois que la Chine cible agressivement les infrastructures critiques américaines de manière inquiétante. Le gouvernement américain et Microsoft ont révélé en mai 2023 que des opérations liées à la Chine ciblaient des entités d’infrastructures critiques aux États-Unis et à Guam dans le cadre d’une campagne connue sous le nom de Volt Typhoon.
« Ils ne sont pas là pour le renseignement. Ils ne sont pas là pour une motivation financière. Ils sont dans des domaines comme l’électricité, les transports et les ports, essayant de pirater la société afin de provoquer des perturbations sociétales et la panique au moment et à l’endroit de leur choix », a déclaré Joyce mardi.
En novembre, Morgan Adamski, directeur du Cybersecurity Collaboration Center de la NSA, a déclaré à un groupe d’analystes et de chercheurs du secteur lors de la conférence CYBERWARCON que la Chine pénétrait dans des infrastructures critiques et attendait « le meilleur moment pour exploiter ces réseaux ». Dans un appel à l’action, Adamski a exhorté les chercheurs à rechercher des comportements anormaux au-delà des logiciels malveillants connus dans leurs réseaux et a souligné la gravité de la situation.
« La menace est extrêmement sophistiquée et omniprésente », a-t-elle déclaré, comme le rapportait Wired à l’époque. « Ce n’est pas facile à trouver. Il s’agit d’un prépositionnement avec l’intention de s’enfouir discrètement dans les réseaux critiques sur le long terme. Le fait que ces acteurs se trouvent dans des infrastructures critiques est inacceptable, et c’est quelque chose que nous prenons très au sérieux – quelque chose qui nous préoccupe.