Vulnérabilités zero-day et IA : êtes-vous prêts?

Ce texte représente le point de vue personnel de Mehdi Talei (en tant que professionnel en cybersécurité), basé sur les connaissances actuelles et les informations disponibles publiquement. Il n’est pas destiné à être définitif, juridiquement contraignant, ni à représenter la position officielle d’un fournisseur, d’une organisation ou d’une institution.

Mehdi Talei
CISO sur demande

Que sont les scanners de vulnérabilités?

Ce sont des outils qui identifient les vulnérabilités des systèmes. Ils sont généralement installés dans un environnement, balayent les systèmes, vérifient leur base de données et signalent toute vulnérabilité présente dans l’environnement.

Il existe différents types de scanners, certains installés en interne et d’autres capables d’analyser à la fois les expositions internes et externes.

Qu’est-ce que Claude Mythos Preview?

Mythos Preview est un nouvel outil d’Anthropic, l’entité qui a développé Claude. Mythos Preview est capable d’identifier puis d’exploiter des vulnérabilités zero-day dans tous les grands systèmes d’exploitation et tous les grands navigateurs web, lorsqu’un utilisateur lui demande de le faire. Les vulnérabilités qu’il trouve sont souvent subtiles et difficiles à détecter.

L’un des avantages de Mythos Preview est qu’une personne ayant moins de connaissances en cybersécurité peut également tirer parti de la solution pour trouver et exploiter des vulnérabilités sophistiquées.

Il convient de mentionner que Mythos Preview n’est pas encore disponible au grand public; il a été utilisé par certaines des plus grandes entreprises technologiques pour tester et découvrir des vulnérabilités dans leur environnement.

Découverte de vulnérabilités et Zero-days

Les vulnérabilités zero-day sont des failles qui n’étaient pas connues auparavant; elles sont inconnues des fournisseurs et aucun correctif n’existe pour les corriger.

Plusieurs organisations dans le monde contribuent à la recherche, la divulgation, le catalogage et la priorisation des vulnérabilités, comme Cisakev, cve.org, NVD, Cert, EPSS, etc.

Elles utilisent différentes méthodes pour découvrir les vulnérabilités :

  • Revue manuelle du code (Analyse menée par des humains) ;
  • Fuzzing (Mutation automatisée des entrées) ;
  • Analyse statique (Inspection automatisée du code) ;
  • Analyse dynamique et surveillance en temps réel ;
  • Analyse binaire et ingénierie inverse ;
  • Analyse à grande échelle d’Internet et télémétrie ;
  • Réponse aux incidents et retour du renseignement sur les menaces ;
  • Divulgation coordonnée des vulnérabilités (CVD) ;
  • Découverte de vulnérabilités assistée par IA.

Vous avez dit IA? Oui, l’IA est utilisée depuis plusieurs années pour trouver des vulnérabilités, et son utilisation est de plus en plus répandue.

Claude Mythos s’appuie sur les méthodes de découverte de vulnérabilités existantes; il utilise l’une des meilleures et des plus efficaces plateformes d’IA au monde, au point que même les personnes ayant moins d’expertise peuvent l’utiliser pour trouver les vulnérabilités… et possiblement les exploiter également.

Ne m’interprétez pas mal, l’objectif n’est pas de sous-estimer l’énorme effort qui a été déployé; l’objectif est que pour nous, les défenseurs, cela représente une évolution du paysage des menaces, nécessitant une vigilance accrue, mais pas un changement fondamental des principes de sécurité.

Que devons-nous faire?

  • Surveiller attentivement l’évolution de Claude Mythos Preview. Nous pouvons tirer parti de cette technologie pour mieux nous défendre. Nous devons en apprendre chaque aspect ;
  • Connaître votre inventaire (matériel et logiciel)… 100% de votre inventaire, pas 95%. Pourquoi? Parce que si vous ne connaissez pas votre inventaire, vous ne connaîtrez pas les vulnérabilités existantes dans votre environnement ;
  • Si vous pouvez activer les mises à jour automatiques, faites-le ;
  • Mettre en place un programme de gestion des vulnérabilités (j’insiste sur le mot « programme », car il est généralement plus grand et plus complexe qu’un « projet ») ;
  • Si vous n’êtes pas en mesure de corriger une vulnérabilité, assurez-vous d’avoir des contrôles compensatoires en place ;
  • Assurez-vous de recevoir les alertes sur les dernières mises à jour ;
  • Réduire votre surface d’exposition ;
    • Assurez-vous que vos services ne sont pas exposés à Internet s’ils ne sont pas censés l’être ;
    • Vérifiez les accès pour vous assurer que la philosophie du privilège minimal est respectée ;
    • Protégez et surveillez vos comptes à privilèges élevés ;
    • Assurez-vous d’activer l’authentification multifacteur (MFA) partout, et de la configurer correctement ;
  • Assurez-vous d’avoir une sauvegarde saine; si malgré toutes ces mesures vous êtes touché, vous pourrez au moins relancer l’activité dans un court délai ;
    • N’oubliez pas de tester vos sauvegardes. Une sauvegarde non testée équivaut à ne pas avoir de sauvegarde ;
  • En dernier mais non en moindre, et en fait le point le plus important : assurez-vous d’avoir une surveillance en place. Si l’une de vos vulnérabilités est exploitée par un acteur malveillant, grâce à un processus de surveillance efficace, vous pourrez peut-être réduire les dégâts.

Conclusion

Mythos Preview d’Anthropic n’est pas le premier outil de cybersécurité assisté par IA, et ne sera pas le dernier; nous sommes simplement au début de ce parcours.

La recherche en sécurité assistée par IA, comme Mythos Preview, met en évidence comment la découverte de vulnérabilités pourrait s’accélérer, renforçant l’importance d’une gestion solide des vulnérabilités, de la visibilité et de la surveillance, plutôt que d’introduire de nouveaux fondamentaux de sécurité. Il est donc essentiel de continuer à respecter et appliquer les principes de base de la cybersécurité pour protéger votre organisation et son environnement.

Deux mises en garde importantes. D’abord, ne pas paniquer et tout changer d’un coup : les décisions précipitées créent souvent plus de vulnérabilités qu’elles n’en résolvent. Ensuite, ne pas déléguer entièrement à votre prestataire TI sans suivi : il ne peut pas décider à votre place qu’une interruption de service est acceptable pour appliquer un correctif urgent. La cybersécurité demande une décision organisationnelle, pas seulement une compétence technique.

Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !

S'inscrire