Attraper l’attaquant silencieux, et

l’évolution de la Cyber-Intelligence
Artificielle
Rapport des menaces 2018

Sommaire Résumé
Résumé 1
Enfouies sous la surface des entreprises, de nouvelles cybermenaces
Internet des Objets 2
continuent de progresser. Il peut s’agir de simples vulnérabilités, ou
Menaces Internes 3 bien d’attaques perpétrées par des experts tentant de s’emparer
d’informations critiques. Pourtant, les dirigeants de ces entreprises
Cryptomonnaie 4
n’ont souvent pas conscience de ces problèmes jusqu’à ce qu’il ne soit
Rançongiciels et Vers Informatiques 5 trop tard. Le conseil d’administration peut alors discuter d’un plan de
rétablissement mais ignore comment l’entreprise protège ses
Attaques Silencieuses et Furtives 6
systèmes d’information.
Intelligence Artificielle & Systèmes 7
Immunitaires : La prochaine étape Les incidents de cybersécurité de l’année dernière indiquent une
incapacité à voir et à détecter les problèmes émergents au sein de nos
réseaux. Alors que la complexité digitale des entreprises s’intensifie et
que de nouvelles menaces émergent, les entreprises sont de plus en
plus dépassées par les cyber-attaquants.

L’ancienne approche de la sécurité des systèmes d’information

consistant à éviter les menaces en renforçant le périmètre du réseau,
ne fonctionne plus. Le rançongiciel se propage trop rapidement
pour être neutralisé à temps, les menaces lentes et furtives agissent
sous-couvert, les employés deviennent attaquants et les appareils
connectés sont piratés. Les organisations arrivant à parer ces attaques
font désormais appel à l’intelligence artificielle pour lutter contre ces
adversaires toujours plus sophistiqués.

Avec plus de 5 000 déploiements, Darktrace est la première société de

cyber-intelligence artificielle au monde, ayant identifié plus de 60 000
menaces qui seraient passées inaperçues.

Ce rapport met en évidence certaines des tendances les plus

significatives de la cyber sphère et présente des études de cas de
menaces réelles découvertes grâce à l’Enterprise Immune System
de Darktrace. Ces dernières exposent des criminels détournant les
serveurs, la mine de Bitcoin, ou des initiés exfiltrant des données.
N’ayant pas été détectées par les systèmes de cybersécurité
traditionnels comme les pare-feux et les antivirus, Darktrace a
cependant permis de les arrêter avant que les dommages ne surviennent.
.

1
 RAPPORT DES MENACES 2018

Internet des Objets

Les réseaux d’entreprise n’étaient auparavant qu’une collection de Un Scanner d’Empreintes
postes de travail et de serveurs. Aujourd’hui, il comprend la totalité Digitales Piraté dans Une Usine
des machines se connectant à internet : des machines à café
de Fabrication
aux Fitbits, de la climatisation aux thermostats, des caméras de
vidéoconférence aux éoliennes. Ces dispositifs se normalisent Un fabricant mondial de produits de luxe a utilisé des
au sein des entreprises et deviennent des cibles privilégiées pour scanners d’empreintes digitales biométriques pour
les cyber-criminels. En 2017, Darktrace a vu une augmentation de restreindre l’accès à ses entrepôts. À l’insu de l’équipe de
sécurité, un attaquant a exploité les vulnérabilités de l’un
400% du nombre d’incidents liés à l’internet des objets (IdO) dans
des périphériques connectés et a commencé à modifier
les réseaux de ses clients.
subrepticement les données biométriques dans le cadre
d’une tentative présumée d’accès aux installations
Les objets connectés sont parmi les plus vulnérables du monde
hautement sécurisées.
informatique. Un demi-million de dispositifs IdO étaient vulnérables
Ladite attaque n’a pu être détectée par les outils de sécurité
à un botnet nommé Mirai, qui lança des attaques de déni de service
traditionnels de l’entreprise, car le périphérique ciblé n’était
massives en 2016. Darktrace intercepta les attaquants ciblant les
pas supervisé par l’équipe informatique. De plus, l’activité
scanners biométriques utilisés pour autoriser le personnel à entrer était trop nouvelle pour déclencher les alertes signalant des
dans les usines de fabrication, des tablettes graphiques d’architectes, comportements malveillants connus.
ou encore un aquarium distribuant automatiquement la nourriture
L’intelligence artificielle de Darktrace détecta instantanément
aux poissons, mais dont la connexion Internet fut exploitée pour
la présence étrangère, car le dispositif infiltré commençait
extraire des données d’une grande société de divertissement. à présenter des comportements anormaux. La menace a pu
être stoppée à temps et la société s’en est sortie indemne.

Augmentation du nombre
d’incidents de sécurité liés Un Système de Réfrigération
à l’internet des objets (IdO) Infiltré dans la Chaîne
Alimentaire Mondiale
En prenant le contrôle de tels équipements, un criminel peut non Nos futures cuisines auront des réfrigérateurs connectés
seulement collecter de l’information, mais aussi paralyser l’activité étant capable reporter leur température et leur propreté : c’est
en exigeant un paiement pour retrouver l’accès aux fichiers, ou encore un projet sur lequel l’industrie alimentaire repose déjà.
saboter l’équipement de façon irréparable. Il peut également Une chaîne de restauration rapide a fait face à un problème
subtilement altérer les données sur de longues périodes, en important lorsqu’une faille dans le logiciel gérant leurs
changeant par exemple les résultats obtenus à partir des capteurs réfrigérateurs aurait permis aux attaquants de changer
d’une compagnie de forage pouvant amener à l’exploitation d’une la température des unités. Cela leur aurait causé une
zone appauvrie. détérioration de l’ensemble des aliments stockés, et les
impacts financiers et de réputation d’un tel scénario aurait
été catastrophiques.
Gartner prévoit que le nombre de dispositifs connectés utilisés dans
le monde atteindra 20.4 milliards d’ici 2020. Alors que les attaquants L’intelligence artificielle de Darktrace repéra cette vulnérabilité
n’ont besoin de qu’une seule faille, les entreprises doivent latente dès son installation car les réfrigérateurs envoyaient
des courriels de spam en masse, avant qu’un potentiel
constamment revoir leurs mesures de sécurité. Ce déséquilibre
saboteur n’exploite cette faille.
prend au dépourvu les chefs d’entreprise et réserve de vrais
challenges pour l’avenir. La vulnérabilité des appareils connectés .
ne peut être éradiquée, mais elle peut être efficacement atténuée,
permettant ainsi aux sociétés de récolter le fruit de la connectivité
sans compromettre ses données, ses systèmes et sa réputation.

2
 RAPPORT DES MENACES 2018

Menaces Internes
Nous pouvons penser que les pirates informatiques sont des ados Un Employé Crédule
à capuche ou des mafias parrainées par l’État. Cependant 65% des
Une importante société pharmaceutique américaine s’est
menaces précoces détectées par Darktrace impliquent en réalité des
vue infectée par un logiciel malveillant après qu’un employé
employés abusant d’un accès légitime, portant atteinte à l’intégrité des se soit connecté à BitTorent (un réseau poste-à-poste utilisé
données de leur employeur, sciemment ou involontairement. pour transférer des fichiers volumineux) pour y télécharger
du contenu multimédia, y compris des films piratés.
La difficulté à détecter les menaces internes repose sur le fait qu’elles
Alors que l’employé jugeait que son activité était inoffensive,
peuvent passer inaperçues pendant de longues périodes, parfois des
le logiciel s’est montré particulièrement agressif et
années. Qu’il s’agisse de la copie et de la vente d’informations dangereux. Il fut en effet conçu pour détecter les
médicales, de l’envoi involontaire de fichiers sensibles sur des vulnérabilités de la machine, permettant ainsi à l’attaquant
comptes personnels ou du délit d’initié, ces activités peuvent nuire d’en exploiter celles du réseau.
progressivement et durablement à la compétitivité d’une entreprise.
Aucun dommage ne fut causé car Darktrace détecta à temps
le téléchargement du fichier, puis les multiples tentatives de
mouvements latéraux. Grâce à une réponse autonome,
des menaces précoces Darktrace a su réagir instantanément, stoppant les
détectées impliquent des connexions du malware vers son centre de commandement
et de contrôle, neutralisant ainsi la menace.
initiés
.

Au milieu de l’agitation liée à l’activité quotidienne, les comportements

potentiellement dangereux des employés sont difficiles à repérer. La
plupart des stratégies de sécurité d’entreprise reposent sur la
La menace d’initié est l’une des
prévention. Les programmes de formation et de sensibilisation menaces les plus sérieuses qu’une
encouragent les bonnes pratiques de cybersécurité et les employés entreprise puisse affronter.
sont incités à signaler tout comportements suspects. Ces politiques
internes réduisent le risque mais ne tiennent pas compte des John Carlin, ancien procureur général adjoint
employés cherchant volontairement à nuire à la réputation de leur pour la sécurité nationale des États-Unis Gene-
société et sachant se faire discrets. De manière critique également, ral for U.S. National Security
vous ne pouvez pas garantir a 100% que vos employés suivront ces
recommandations et bonnes pratiques.

Un petit groupe d’utilisateurs représente une menace considérable

pour les entreprises : Les utilisateurs à accès privilégiés : ces
employés technophiles opèrent sous un manteau de légitimité et
savent couvrir leurs traces pour dissimuler leurs activités illicites.

L’intelligence artificielle est un allié essentiel dans la lutte

contre les menaces internes car elle est capable de rassembler de
nombreuses et subtiles traces d’activité sur de longues et courtes
périodes, ce qui ne peut être fait par des équipes humaines en raison
du grand nombre et de la complexité des données. L’intelligence
artificielle peut repérer les déviations, même subtiles, en
comparant ce qui est normal et anormal.

Aucune organisation ne peut éliminer la menace interne, mais elle se

doit d’être gérée si les entreprises veulent protéger leurs ressources
sur le long terme.

3
 RAPPORT DES MENACES 2018

Cryptomonnaie
La plupart des cyber-attaquants visent à voler ou compromettre les Bitcoin Mining Sous Le Capot
données, mais un nombre croissant de pirates informatiques
Un cabinet d’avocat renommé de 500 personnes disposait
pénètrent dans vos systèmes pour en exploiter l’infrastructure d’une
de contrôles de sécurité traditionnels qui scannaient les
manière différente. Ils utilisent votre puissance de calcul pour gagner menaces connues, mais ne savait pas que le minage de
de l’argent en minant des cryptomonnaies et ce, souvent sans que bitcoin avait lieu au sein de son réseau depuis plus de
vous ne le découvriez. 5 mois.

Après l’installation de la technologie de défense via

Le minage des cryptomonnaies, comme le Bitcoin, est un processus
l’Intelligence Artificielle, il est apparu qu’un stagiaire d’été
d’authentification et de légitimation des transactions de monnaies avait installé des logiciels malveillants miniers bitcoin
décentralisées. Plus les hackers détournent la puissance des sur l’infrastructure de l’entreprise, cooptant plus de
ordinateurs, des serveurs et autres périphériques, plus l’exploitation 75 ordinateurs.
des mines augmentent rapidement. Avec des milliers de postes de
En plus de ralentir le réseau et d’avoir un impact négatif sur
travail cooptés par des logiciels miniers, les récompenses peuvent
la productivité de l’entreprise, cette opération de cryptage a
être importantes. On estime qu’une armée d’ordinateurs détournés exposé l’entreprise à un important dommage de réputation.
pourrait permettre de générer plus de 200 000 dollars par an. Sans l’Intelligence Artificielle qui a su détecter les
comportements anormaux, l’opération aurait pu continuer
pendant plusieurs mois - bien après le départ du stagiaire.
des réseaux montrent des
signes liés au minage de
cryptomonnaies
La cyberdéfense alimentée par
Certains hackers préfèrent la nature furtive et discrète de ces
l’Intelligence Artificielle offre une
campagnes. Contrairement aux rançongiciels, se propageant meilleure chance de détecter et
rapidement et révélant leur criminalité à leurs victimes, la mine de de lutter contre les attaques
cryptomonnaies peut fonctionner en arrière-plan pendant des mois
et même des années, sans que les propriétaires des infrastructures
crypto-minières.
s’en rendent compte. Justin Fier, Directeur de la Cyber Intelligence et
de l’Analyse, Darktrace
Au cours des six derniers mois seulement, Darktrace détecta et
intercepta plus de 1 000 incidents de mine de cryptomonnaies et
en a découvert des signes dans 25% des réseaux. Certaines de ces
opérations ayant même été gérées par des employés eux-mêmes.
Alors que les attaquants volent quotidiennement de la puissance
informatique, ils représentent également un risque pour
l’infrastructure et les données critiques. Une présence inconnue
sur le réseau est aussi imprévisible que dangereuse.

4
 THREAT REPORT 2018

Rançongiciels et Vers
Informatiques
Les rançongiciels chiffrent massivement les fichiers, les rendant L’Intelligence Artificielle Arrête
inaccessibles et exigeant une rançon en cryptomonnaies le Rançongiciel Avant qu’il ne se
en échange d’une clef de déchiffrement. Les dommages
opérationnels et financiers peuvent être dévastateurs. Répande
LÀ 19h05 un vendredi, un employé d’une grande entreprise
En 2017, nous avons assisté́ au retour d’un ver de réseau : de télécommunications a accédé à son courriel personnel
un logiciel malveillant se propageant sur d’autres poste. Il à partir de son téléphone d’entreprise et a été amené à
permettent aux attaques de type WannaCry de se propager télécharger un fichier malveillant. Quelques secondes plus
automatiquement et rapidement. Le code se transmet d’un tard, l’appareil a commencé à se connecter à un serveur
externe sur le réseau Tor.
ordinateur à l’autre, sans aucune intervention humaine.
L’intelligence artificielle de Darktrace a découvert qu’une
Le rançongiciel est une attaque « bruyante » : des milliers de nouvelle souche avancée de rançongiciel avait été déployée.
L’attaque, automatisée, s’est propagée plus rapidement que
connexions sont établies pendant que le malware crypte les
les rançongiciels ordinaires.
fichiers. Cette activité́ anormale déclenche plusieurs alarmes
qui ne sont utiles que si elles sont capables de prévenir à temps Neuf secondes après le début des activités de cryptage SMB,
Darktrace déclencha une alerte prioritaire signifiant que
et de stopper l’attaque avant qu’il y ait des dégâts. Une réponse
l’anomalie nécessitait une investigation immédiate. Comme
autonome ripostant en temps réel et de manière optimale est
le comportement a persisté au cours des 24 secondes
essentielle dans ce genre scenario. suivantes, Darktrace révisa sa compréhension de la
déviation, la jugeant comme une menace active et rapide.
Alors que l’équipe de sécurité avait quitté le bureau pour
le week-end, L’intelligence artificielle de Darktrace a répondu
Intelligence Artificielle et de manière autonome, et de manière chirurgicale. Il a
Réponse Autonome interrompu toutes les tentatives de chiffrement, tout en
permettant à l’activité normale de continuer sans
La valeur de l’intelligence artificielle est sa capacité́ à interruption.
rassembler de nombreuses informations pour en tirer
des conclusions auxquelles les humains ne peuvent pas
parvenir facilement.

Les progrès en intelligence artificielle ont permis la création

L’intelligence artificielle lutte
d’un système immunitaire au cœur de l’organisation :
l’auto-apprentissage comprend automatiquement son contre les menaces les plus
environnement numérique, il voit et réagit dès les premiers importantes pour nous.
signes d’un compromis ou d’une menace.
Michael Sherwood, CIO, Ville de Las Vegas
En cybersécurité la prochaine étape est de pouvoir détecter
l’indétectable, mais aussi de lutter contre les menaces et les
neutraliser, à la manière des anticorps dans notre corps.

Dans un monde où les mouvements des cyber-attaquants

sont parfois mesurés en millisecondes, une réponse
autonome est indispensable pour contrer l’adversaire. Elle
offre à votre équipe de sécurité́ le temps nécessaire pour se
rattraper.

5
 THREAT REPORT 2018

Attaques Silencieuses et Furtives

Les cyber-attaques que l’on observe dans l’actualité ne sont pas Fuite de Fichier Audio à
uniques et isolées, et sont en réalité plusieurs brèches qui peuvent partir d’un Dispositif de
remonter à plusieurs mois, voire années. La complexité́ des
infrastructures numériques a atteint un tel stade que les équipes
Visioconférence
de sécurité́ ont du mal à suivre les changements, anomalies, et Exfiltrer des données lentement est plus susceptible
procédures de sécurité qui devraient être suivis. de passer inaperçu, et ce fut l’intention d’attaquants
Les attaquants en profitent et prennent des mesures pour éviter la ayant infiltré les systèmes d’un équipementier sportif
international.
détection. Dissimulés parmi les signaux du réseau, ils n’agissent que
quelques millisecondes par jour, laissant s’échapper les données
recueillies lentement. Ils sont sous le radar mais contournent les La visioconférence de la salle de réunion a été exploitée
contrôles traditionnels. via un outil d’accès distant non authentifié, et des fichiers
audio ont été divulgués à un serveur externe inconnu.
Le vol de données demeure un problème important, mais l’intégrité Jouant à un jeu à haut risque et ciblant des conversations
hautement confidentielles, les attaquants ont su être
de celles-ci devient un objectif majeur pour les pirates informatique.
prudents. Les fuites individuelles n’ont jamais dépassé́ 10
En les manipulant lentement, les attaquants peuvent soulever des
KB et ont été effectuées pendant les heures de travail, afin
doutes et éroder la confiance en les systèmes d’information. Pour
de ne pas éveiller de soupçons.
des industries telles que la santé et les services financiers, où la
fiabilité́ des données est un prérequis, ils peuvent également causer
des dommages systémiques. Le hack aurait pu être très réussi s’il avait duré́ assez
longtemps. L’IA de Darktrace a cependant identifié les
comportements du système de visioconférence comme
Les stratégies et technologies de cyberdéfense d’aujourd’hui doivent
anormaux, même si les changements étaient lents et
s’attaquer aux offensives rapides et automatiques, ainsi qu’aux subtiles. Cela a sauvé́ l’entreprise d’une perte de données
attaques silencieuses et furtives. majeure.

Outil de Piratage de Mot de Passe Attaquants Recueillant des

Tentant d’Éviter la Détection Données de Reconnaissance
Une université́ Italienne a été touchée par une attaque La planification sophistiquée d’une cyberattaque a été
contenant des « mécanismes de défense actifs ». Le logiciel observée durant quatre semaines dans une entreprise
malveillant enregistrait les frappes du clavier et envoyait les de santé, où des données sensibles ont été subtilement
mots de passe des utilisateurs à des destinations contrôlées détournées à travers deux dispositifs non autorisés.
par l’attaquant. Le programme, appelé́ « Smoke Malware Loader
», utilise des astuces pour se cacher des regards indiscrets ; il Ces deux appareils ont commencé́ à montrer des signes
se modifie pour éviter la détection, et crée un écran de fumée d’activité́ anormale dans le réseau. Ils ont commencé́
de trafic pour se dissimuler. à agir comme des passerelles Web, canalisant le trafic
Internet. Les adresses MAC de ces appareils étaient celles
Malgré́ cela, un attaquant sème toujours des indices. Dans de Raspberry Pis (ordinateurs mono-carte à faible coût)
ce cas, Darktrace avait observé́ de nombreux signaux sur qui servaient un site Web externe suspect présentant une
plusieurs jours : le téléchargement d’un fichier, des destinations fausse page de connexion aux utilisateurs du réseau non
rares en dehors du réseau, et la transmission de paquets pour avertis.
annoncer la présence de l’attaquant à son centre de commande
(méthode connue sous le nom de balisage). Les signaux sont L’objectif de l’attaque était de récupérer les informations
facilement manqués dans le trafic réseau quotidien, mais l’IA d’identification de l’utilisateur, afin de les utiliser pour
excelle lorsqu’il s’agit de donner un sens à ces informations. infiltrer les systèmes internes. La mise en place et les
L’incident a été corrigé dans la semaine. premières communications réalisées par les appareils
étaient subtiles, mais l’IA a révélé́ qu’ils présentaient un
comportement déviant important et a stoppé les attaquants.

6
 THREAT REPORT 2018

Intelligence Artificielle &

Systèmes Immunitaires : La
prochaine étape
Les études de cas de cybermenaces présentées dans des mesures contre les menaces avant qu’elles ne
ce rapport proviennent d’entreprises qui ont identifié des puissent commencer leurs cycles de d’attaque et de
problèmes de cybersécurité avant que ces derniers ne destruction.
deviennent des incidents ou catastrophes majeurs.
La réponse autonome est la nouvelle étape en matière
Darktrace a inventé l’intelligence artificielle qui fait de cybersécurité, aidant les entreprises à agir plus tôt
cela, connue sous le nom d’Enterprise Immune System et plus rapidement contre les cybermenaces les plus
: elle comprend ce qui est normal à l’intérieur de complexes, y compris contre des virus qui se propagent
l’environnement numérique, tout comme votre système automatiquement et ne prennent que quelques secondes
immunitaire humain vous protège des virus silencieux et pour répandre leur infection.
des bactéries nocives. C’est une solution évolutive, qui
apprend et s’améliore en continu. La cyber-intelligence artificielle a la capacité et la subtilité
nécessaires pour découvrir ce que l’œil humain a du mal
Progressivement, les entreprises et les gouvernements, à voir, mais également la vitesse et la précision pour
commencent à adopter cette intelligence artificielle pour combattre les malwares les plus rapides, sans perturber
contrer les attaques. Les outils de sécurité traditionnels les opérations critiques.
tels que les pare-feux, les antivirus et leurs itérations plus
récentes peuvent repousser les menaces connues qui ont Les chefs d’entreprise ont la responsabilité de fortifier
été identifiées ailleurs, ils sont impuissants lorsqu’il s’agit leurs sociétés à long terme, contre les attaquants
de détecter les menaces les plus subtiles et les mieux d’aujourd’hui, mais aussi contre ceux de demain.
dissimulées. L’intelligence artificielle est leur alliée essentielle pour
remplir ce devoir et uniformiser les règles du jeu.
À l’inverse, l’intelligence artificielle peut gérer à la fois la
complexité du réseau et la sophistication évolutive
des nouvelles menaces. Cette technologie s’installe en
seulement une heure, et commence son apprentissage
dès lors.

La prochaine phase de la cyber-Intelligence Artificielle et

de la défense du « système immunitaire » approfondit la
technologie davantage. Après avoir prouvé sa capacité
de distinguer l’étrange et bénin de l’insignifiant et dangereux,
l’intelligence artificielle est maintenant capable de prendre

Avec Darktrace, le sujet d’Intelligence Artificielle

dans la cybersécurité est devenu concret.
Ovum
A propos de Darktrace Contactez-nous
Darktrace est le leader mondial de la technologie d’IA pour la cyberdéfense. Créé par des mathématiciens,
France: +33 608 187 092
l’Enterprise Immune System utilise des algorithmes d’intelligence artificielle pour détecter et lutter contre
les cybermenaces dans tout type de réseau, y compris les environnements physiques, virtuels et cloud, Europe: +44 (0) 1223 394 100
aussi bien pour l’IoT (internet des objets) que pour les systèmes de contrôle industriels. La technologie [email protected]
est auto-apprennante et ne nécessite aucune configuration préalable, identifiant les menaces en temps
réel, y compris les « zero-days », les menaces internes, et les attaquants silencieux et furtifs. Darktrace a darktrace.com
un double siège social à San Francisco et à Cambridge (Royaume-Uni), et possède aujourd’hui plus que 30  @darktrace
bureaux dans le monde.

Darktrace © Copyright 2018 Darktrace Limited. All rights reserved. Darktrace is a registered trademark of Darktrace Limited. Enterprise Immune System, and Threat Visualizer
are unregistered trademarks of Darktrace Limited. Other trademarks included herein are the property of their respective owners.