Cybi, la cybersécurité intelligente pour prédire les attaques

Cybi, l'héritière de Scuba

Moi, Cybi, pour "Cybersécurité Intelligente", je viens de prendre mon envol en 2022 mais je suis en germe depuis plusieurs années déjà. J'ai mûri comme une idée dans les rêves de quatre chercheurs Inria et je suis née dans les couloirs de RESIST. Cette équipe commune à Inria et au Loria, spécialisée dans les réseaux et la cybersécurité, possède une salle de test consacrée à l'étude des vulnérabilités des objets connectés. C'est là qu'est née Scuba, la technologie qui me permet de voir le jour. En 2019, Régis Lhoste, mon futur CEO, rentre dans cette salle et découvre Scuba : « Je venais de faire connaissance avec l'équipe, ils m'ont montré leur travail en attaquant une prise connectée vendue dans le commerce. Par rebonds, leur chaîne d'attaque a fini par atteindre un automate industriel. Donc, en rentrant par une simple prise, une attaque pouvait toucher toute une chaîne de production. »

Des attaques en chaîne

L'Internet des objets (appelé aussi IoT pour Internet of Things), a déjà intégré dans notre paysage des millions d'objets connectés : réfrigérateurs, prises, lampes, montres, etc. Frédéric Beck, ingénieur de recherche Inria, membre de l'équipe RESIST, voit dans tous ces objets de nouvelles portes d'entrée pour pénétrer un réseau informatique : « Les fabricants vont vite et négligent souvent la robustesse de leur logiciel. La prise connectée sur laquelle nous avons démontré les capacités de Scuba a été commercialisée en 2014 avec des composants logiciels datant de 2011, aux vulnérabilités bien connues. »

Face à la problématique, RESIST s'est dotée de cette plate-forme de test pour évaluer les niveaux de sécurité des produits mis sur le marché. Avec l'intérêt de pouvoir les mettre en situation et de les placer dans leur environnement, en interaction avec d'autres objets. Pour Frédéric Beck, il est nécessaire de travailler ainsi, en contexte : « Aujourd'hui, la plupart des attaques informatiques fonctionnent en chaîne d'attaque, en passant d'un objet à un autre pour trouver des ponts et des points d'entrée. Un objet peut avoir un bon score de sécurité mais peut aussi devenir un point de passage sitôt mis en réseau avec d'autres objets. J'ai testé chez moi, c'est ma box Internet, très bien notée, qui servait de pont à tous les scénarios d'attaque. » Ce jour-là, devant Régis Lhoste, Scuba marche à merveille et identifie tous les points de passage obligés et l'ensemble des chaînes d'attaque possibles. La technologie indique/suggère aussi les actions de correction prioritaires. « L'automate industriel est très vulnérable mais il est aussi impossible de l'arrêter sans interrompre la production et sa modification coûte cher. Scuba montre qu'il est possible d'intervenir en amont de la chaîne pour empêcher que les attaques parviennent jusqu'à lui. Ici, le maillon faible c'était finalement la prise connectée. » Demain, avec Scuba, une technologie complexe, j'aurai une longueur d'avance sur le marché de la cybersécurité.

L'IA pour un traitement automatique de la cybersécurité

En 2020, l'ampleur et la diversité de ces chaînes d'attaques encouragent l'équipe RESIST à déposer un brevet pour Scuba. Au cœur de ce moteur, des modules d'intelligence artificielle sont capables de lire et d'apprendre. Abdelkader Lahmadi, enseignant-chercheur à l'université de Lorraine et membre de l'équipe RESIST, a été l'un des artisans de ma technologie : « Toutes les vulnérabilités informatiques sont recensées et décrites dans les CVE (Common vulnerabilities exposure). Chaque fois qu'une faille est découverte, souvent lors d'une opération de Bug Bounty durant laquelle des milliers d'informaticiens mettent des systèmes à l'épreuve, les constructeurs doivent corriger la faille et documenter le correctif en libre accès. Le corpus des CVE forme des milliards de lignes de texte sans formalisme : les gens décrivent avec leurs mots. La force de Scuba c'est de pouvoir les lire et les comprendre, très rapidement. » Mon secret est là : être capable de récupérer les CVE sur le Web, de les recopier et de les corréler pour analyser les vulnérabilités et en identifier les causes et conséquences. Avec cette information enrichie, je peux ensuite repérer des similarités dans tous les systèmes et prédire des chemins d'attaques ou d'intrusion. Pour Abdelkader Lahmadi, Scuba n'est pas un robot qui gèrera seul la cybersécurité : « Scuba vient répondre à une pénurie d'experts et d'analystes. Les centres d'opérations de sécurité (SOC) des grandes entreprises doivent intégrer plusieurs dizaines de vulnérabilités nouvelles chaque jour et n'ont pas les moyens de tout corriger et prioriser. Ce que nous allons leur proposer avec Cybi, c'est un outil d'aide à la décision qui les assistera pour prédire les attaques et prioriser les opérations de défense. »

Cybi contre Pegasus

En 2016, le logiciel espion Pegasus est découvert et, avec lui, l'ampleur de l'attaque. Mes créateurs ont cherché à savoir ce que j'aurais pu faire et ont fait rejouer le match. Bilan de cet affrontement post mortem contre le terrible virus : avec Scuba, j'ai pu prédire toutes les chaînes d'attaque. En 2016, j'aurais vu clair dans les plans de Pegasus. Et dans un autre combat contre le virus Puzzle-maker, j'ai même identifié des variantes inconnues à ce jour. Régis Lhoste est l'homme qui s'occupera de présenter mes victoires à mes futurs clients : « Nous allons nous adresser aux SOC des grands groupes pour leur présenter cette technologie de rupture et leur proposer le logiciel Scuba avec sa licence d'utilisation. Après un temps long de maturation, tous les astres sont alignés pour lancer Cybi sur le marché. » En 2018, quatre chercheurs Inria ont rêvé de se lancer dans une aventure : « Nous voulions voir jusqu'où pouvaient aller nos discussions dans la salle de pause », selon les mots de Frédéric Beck. Ces discussions se sont concrétisées grâce au soutien de la cellule transfert d'Inria, de l'Université de Lorraine et de l'incubateur lorrain qui m'ont trouvé des locaux, ont suivi mes premiers pas, m'ont accompagné dans mon business model et m'ont aidé à trouver des financements. En 2018, je n'étais qu'une idée autour d'une machine à café. En 2022, je serai de tous les salons de cybersécurité et mènerai de nouveaux combats contre les attaques informatiques.