Cet article a déjà été publié dans The Cipher Brief.
Pendant une décennie, la communauté de la cybersécurité prédisait une cyber-apocalypse liée à un seul événement – le jour où un ordinateur quantique cryptographiquement pertinent pourrait exécuter l’algorithme de Shor et briser les systèmes de cryptographie à clé publique sur lesquels fonctionne la plupart d’Internet.
Nous nous sommes préparés à un choc ponctuel que nous allions absorber et auquel nous nous adapterions. Le NIST (l’Institut national des normes et de la technologie) a déjà publié des normes pour le premier ensemble de codes de cryptographie post-quantique.
Il est possible que la première apocalypse de la cybersécurité soit arrivée tôt. Anthropic Mythos fait désormais pencher la balance en faveur des attaquants dans la course aux armements en matière de cybersécurité – et les calculs expliquant pourquoi il penche et combien de temps il le reste sont différents de tout ce pour quoi nos institutions ont été construites.
En 2013, Edward Snowden a changé ce que les gens savaient
En 2013, Edward Snowden a changé la perception que les gens avaient des cybercapacités des États-nations. Au cours de la décennie qui a suivi, les divulgations et les fuites des cyberoutils des États-nations ont réduit l’incertitude et accéléré la diffusion du cybercommerce.
Le plan défensif qui a suivi – compartimentage, besoin de savoir, réduction de la surface de fuite, réforme des autorisations – a « fonctionné » parce que les fuites de Snowden et celles qui ont suivi étaient des révélations ponctuelles, absorbées sur une décennie, le système revenant à quelque chose comme l’équilibre.
Nous avons réussi à réagir aux chocs provoqués par les révélations. C’est devenu une doctrine.
C’était la bonne doctrine pour un mauvais avenir.
La boîte de Pandore
En 2026, le mythe anthropique (et les systèmes d’IA similaires) change ce que les gens peuvent faire. Mythos a découvert des vulnérabilités Zero Day et des milliers de « bugs » dont l’existence n’était pas publiquement connue (un article à lire absolument ici.) Beaucoup d’entre eux n’étaient pas de simples exploits de destruction de pile, mais des attaques sophistiquées qui nécessitaient d’exploiter des conditions de concurrence subtiles, des contournements KASLR (Kernel Address Space Layout Randomization), des vulnérabilités de corruption de mémoire et des failles logiques dans les bibliothèques cryptographiques, ainsi que des bugs dans TLS, AES-GCM, et SSH.
La réalité est qu’un certain nombre d’entre eux n’étaient pas des « bugs ». Il y a eu des exploits d’États-nations construits au fil des décennies.
Cela signifie qu’Anthropic Mythos, et les outils qui suivront certainement, ont exposé des outils de piratage auparavant uniquement disponibles aux États-nations et transformés en outils que Script Kiddies disposera d’ici quelques mois (et certainement d’ici un an). Aucune expertise ne sera requise pour appliquer ce métier, ce qui réduira à la fois la courbe d’apprentissage et la barrière d’exécution.
La volonté de tous les gouvernements se bouscule
Lorsque des systèmes de classe Mythos sont utilisés pour analyser le code dans des infrastructures et des systèmes critiques, les exploits sophistiqués et cachés du jour zéro qui sont déjà utilisés (y compris ceux sur lesquels les États-nations sont présents depuis des années) seront découverts et corrigés. Cela signifie que les sources utilisées par les agences de renseignement pour collecter des informations disparaîtront à mesure que les entreprises et les gouvernements corrigent ces vulnérabilités.
Chaque service de renseignement se démènera, probablement avec sa propre IA, pour trouver de nouveaux exploits et accès pour remplacer ceux qui ont été brûlés. Cela entraînera une course aux cyber-armes avec une nouvelle génération de cyberexploits basés sur l’IA pour remplacer ceux qui ont été découverts.
Quel que soit le camp qui favorise une adoption plus rapide de l’IA – non seulement « l’achète », mais l’expédie dans les systèmes opérationnels – détient un avantage croissant mesuré en puissances de deux tous les quatre mois.
La contrainte pour les agences de renseignement (et les entreprises) ne sera pas leur budget, ni leurs autorités, ni l’accès aux modèles. Il s’agira de leur capacité institutionnelle de changement – la vitesse à laquelle une organisation de défense peut réellement modifier ce qu’elle déploie.
La longue traîne ne sera pas corrigée
Anthropic a donné aux entreprises un accès anticipé pour sécuriser les logiciels les plus critiques au monde.
Cela aidera les entreprises Fortune 100. Mais le Fortune 100 ne représente pas seulement une petite partie de la surface d’attaque des logiciels.
La surface d’attaque comprend le service des eaux du comté, l’hôpital régional, le fournisseur de défense de troisième niveau, le district scolaire, le département d’État des véhicules automobiles, le système municipal 911 et la coopérative électrique d’une petite ville. Il comprend des dizaines de milliers de systèmes exécutant des logiciels que personne n’a le temps de corriger, maintenus par des équipes qui n’ont jamais entendu parler de KASLR.
Chacun de ces systèmes est désormais exposé à des techniques commerciales de niveau national, utilisées par des attaquants sans aucune expertise requise. Le durcissement de classe Mythe au sommet de la pyramide ne se répercute pas. La longue queue restera intacte pendant des années.
Avantage des attaquants – pour l’instant
Face à la croissance exponentielle continue des cyberattaques conçues par l’IA, un cyberdéfenseur utilisant des outils traditionnels ne peut pas réagir une seule fois et stabiliser ses systèmes. Ils devront continuer à investir à un rythme qui correspond au taux de croissance de l’infraction. Un choc défensif ponctuel comme la compartimentation peut fonctionner contre une attaque soudaine, mais il échouera face à la pression exponentielle soutenue de ces outils d’attaque de l’IA, car il n’y a pas d’équilibre stable vers lequel revenir. Le taux d’investissement d’un défenseur doit désormais suivre le taux de croissance exponentielle de l’offensive.
En fin de compte, espérons-le, la prochaine génération d’outils de cyberdéfense basés sur l’IA créera un nouvel équilibre.
Ce que nous devons faire
Mythe et ses suites vont changer notre façon de penser la cyberdéfense. Nous ne pouvons pas simplement créer un ensemble de fonctionnalités pour détecter chaque exploit x ou y. Nous devons construire des cybersystèmes capables de maintenir ou de dépasser le taux de capacité des attaquants.
Voici les trois outils que les gouvernements et les entreprises de cyberdéfense doivent mettre en place dès maintenant :
Mesurez l’écart entre les attaquants et les défenseurs. Nous devons connaître l’écart entre ce que les attaquants peuvent faire et ce contre quoi nous pouvons nous défendre. Nous devons développer des exercices instrumentés rouge/bleu (une simulation d’une cyberattaque, où deux équipes – l’équipe rouge et l’équipe bleue – s’affrontent) pour estimer le nombre de nouvelles vulnérabilités par rapport à l’atténuation de la cyberdéfense. Mesurez le temps de réponse du défenseur. Pour chaque système de mission d’entreprise ou gouvernemental, mesurez le temps nécessaire pour mettre en œuvre un changement depuis l’identification jusqu’au déploiement en production. Traitez ensuite chaque obstacle organisationnel comme équivalent à une dette technique qui doit être corrigée et un obstacle à supprimer. Spécifiez la vitesse, pas les fonctionnalités. Tous les nouveaux outils et architectures de cyberdéfense – y compris les systèmes cloud natifs de nouvelle génération actuellement en cours d’examen – devraient avoir des exigences de « taux » explicites. Les affirmations selon lesquelles « notre produit offre
Résumé
Attachez votre ceinture. Cela va être une aventure folle – pour les entreprises, pour la défense et pour les agences gouvernementales.
Le mythe est un changement radical. Cela nécessite une réponse différente de celle pour laquelle l’écosystème de cybersécurité actuel a été conçu, et pour laquelle le système actuel n’est pas conçu.
Nous ne sommes pas encore en retard. L’écart entre le mythe et ce que nous pouvons construire pour défendre est suffisamment petit aujourd’hui pour qu’une réponse sérieuse puisse encore l’égaler. Dans un an, la même réponse sera huit fois trop lente. Deux ans soixante-quatre.
D’ailleurs, la seule chose qui restait dans la boîte de Pandore était l’espoir.
Classé sous : Sécurité nationale, Technologie |
