Incidents associés
Selon Cynthia Kaiser, directrice adjointe du FBI, la plus grande menace pesant sur les infrastructures critiques américaines se résume en un mot : « Chine ».
Dans une interview accordée à The Register lors de la conférence RSA, elle a déclaré que des équipes soutenues par le gouvernement chinois testaient l'IA à chaque étape de la chaîne d'attaque. Cela ne signifie pas qu'elles réussissent, mais cela les rend « plus efficaces, voire un peu plus rapides », a ajouté Kaiser.
La menace persistante que représentent les intrus numériques soutenus par Pékin qui s'infiltrent dans les installations critiques américaines ne constitue probablement pas une surprise majeure pour quiconque peut citer au moins deux des typhons révélés entre le RSAC de l'année dernière et l'événement infosec de cette année.
À l’heure actuelle, la plupart des gens sont conscients de la sophistication et de la furtivité avec lesquelles les espions de Pékin se déplacent dans les réseaux gouvernementaux, de télécommunications, d’énergie et d’eau essentiels, parfois pendant des années avant d’être détectés. Volt Typhoon, par exemple, a infecté des centaines de routeurs obsolètes pour construire un botnet et s'introduire dans des infrastructures critiques américaines, tout en préparant des cyberattaques destructrices contre ces cibles.
Une autre équipe d'espionnage chinoise, Salt Typhoon, a compromis au moins neuf entreprises de télécommunications américaines et des réseaux gouvernementaux l'année dernière, avant de tenter d'exploiter plus d'un millier d'appareils Cisco connectés à Internet en janvier dernier.
Ces agents, ainsi que d'autres agents travaillant pour le compte du gouvernement chinois, s'introduisent dans les réseaux américains par des « moyens peu sophistiqués, notamment avec des appareils en fin de vie », a déclaré Kaiser au Register.
« Nous les voyons souvent pénétrer dans un système par le biais de vulnérabilités ou d'un appareil non corrigés, et lorsqu'ils y parviennent, c'est très discret », a-t-elle déclaré.
Les agents du FBI intervenus lors des intrusions du Volt Typhoon chinois et ayant visité certaines installations énergétiques et autres installations compromises « témoignent de l'habileté avec laquelle les Chinois ont navigué dans un système interne, s'introduisant via un réseau d'entreprise pour atteindre le côté opérationnel », a noté Kaiser. « C'est également ce que nous avons constaté avec Salt Typhoon : ils étaient capables de se déplacer latéralement et de naviguer, prenant leur temps pour obtenir l'accès souhaité. » L'un des avertissements préférés de l'ancien directeur du FBI, Christopher Wray, était que la Chine comptait 50 pirates informatiques dédiés pour chaque agent du FBI spécialisé dans la cybersécurité, et ce bien avant le retour de l'administration Trump à la Maison Blanche et la réduction drastique des budgets et des effectifs fédéraux.
Il semblerait donc que l'Amérique ne fasse que faciliter la tâche des agents chinois.
« Le statu quo »
Mais lorsqu'on lui a demandé comment les récents changements de gouvernement avaient affecté la capacité du FBI à répondre aux cybermenaces, Kaiser a répondu : « Pour nous, le statu quo est resté. »
Cette activité consiste à répondre aux attaquants étatiques, ainsi qu'aux groupes de rançongiciels et autres cybercriminels motivés par des intérêts financiers (https://www.theregister.com/2025/04/24/ransomware_scum_and_other_crims/), qui utilisent de plus en plus l'IA pour optimiser l'efficacité, la rapidité et la modularité de leurs attaques.
« Au FBI, nous suivons l'IA de très près, de manière précise, afin d'identifier, au fil du temps, les pays qui utilisent ce cas d'utilisation ou l'intègrent plus fréquemment à tel ou tel aspect de leurs opérations tout au long du cycle de vie de l'attaque », a ajouté Kaiser. « L'adoption la plus large de ces cas d'utilisation que nous avons constatée provient de la Chine et des cybercriminels. »
Cela inclut l'utilisation de l'IA pour créer des profils d'entreprises fictifs à grande échelle, et leur utilisation, à l'aide de modèles linguistiques étendus, afin de concevoir des messages de spear-phishing plus crédibles, destinés aux campagnes d'ingénierie sociale.
Cependant, l'utilisation de l'IA par les intrus est similaire à celle des défenseurs : ils n'utilisent pas l'IA pour lancer des attaques de bout en bout, mais plutôt pour optimiser leurs phases initiales d'analyse et de préparation. « Nous voyons beaucoup d'adversaires l'essayer. Comment utiliser l'IA ici ? Qu'est-ce que cela signifierait là ? Cela pourrait simplement signifier qu'ils ont enrichi une campagne ciblée, mais pas qu'ils ont créé un malware polymorphe capable de se modifier lorsqu'il est présent sur un système », a noté Kaiser.
Ainsi, même si les scénarios catastrophes évoqués lors des précédentes conférences RSA ne se sont pas encore concrétisés, les attaquants utilisent l'IA à des fins plus pratiques.
« L'autre aspect qui doit préoccuper les entreprises concernant l'IA est qu'elle aide un adversaire à mieux cartographier un réseau », a déclaré Kaiser. « Une fois qu'ils ont pénétré un réseau, elle leur permet de cibler leurs cibles. »
C'est important, car « la première ligne de défense est de tenir les adversaires à distance », a-t-elle ajouté. « Le deuxième objectif, cependant, est de garantir que les gens ne puissent pas se déplacer sur votre réseau. »
MFA – ou un mot de sécurité
Outre ces deux utilisations de l'IA, cette technologie permet également à tous, des faux informaticiens nord-coréens aux escrocs ordinaires, de créer plus facilement des vidéos deepfake, d'escroquer des entreprises et des particuliers et de voler leurs adresses IP sensibles.
« Imaginez que vous receviez un appel de votre PDG », a déclaré Kaiser. « C'est sur une application de messagerie que vous avez déjà utilisée, et c'est votre PDG, assis dans une maison où vous l'avez vu à maintes reprises, qui vous dit : « J'ai besoin que vous fassiez un virement ici, ou que vous participiez à une réunion urgente en ligne via ce lien. » Beaucoup d'entre nous, moi y compris, feraient probablement ce que mon PDG m'a dit de faire sans réfléchir. Serait-ce un faux ? »
Les criminels le font et utilisent des vidéos deepfake pour « escroquer des millions de dollars aux entreprises », a-t-elle ajouté. « Il sera donc impératif d'intégrer l'authentification multifacteur à tout. »
Pour les systèmes numériques, cela peut inclure un code d'authentification ou des données biométriques comme une empreinte digitale. Mais dans le cas où un membre de votre entreprise semble vous demander de transférer des sommes importantes, l'authentification multifacteur peut constituer un moyen plus simple de vérifier l'identité d'une personne.
Selon Kaiser : « L'authentification multifacteur à l'ancienne, c'est un mot de passe secret. »