Le moment Spoutnik de la cyber

Un million d’hommes armés de cure-dents ne valent pas tripette face à quelques drones télécommandés, et ce n’est pas pour rien que la course à l’armement n’est pas juste une affaire de nombre de chars, d’ogives nucléaires et de chasseurs Rafale : c’est d’abord et avant tout une course à la technologie la plus avancée.

L’expression « moment Spoutnik » désigne cet instant où les Américains ont découvert ébahis que les Russes avaient envoyé le premier satellite dans l’espace, et ainsi pris conscience de l’avance technologique accumulée par les Soviétiques. Avec l’impact qui pouvait en découler, à terme, sur la survie du peuple américain : personne ne veut être celui qui se retrouve au milieu de la bagarre armé seulement d’un cure-dent. Et d’ailleurs il y a de fortes chances que les chasseurs type F15 ou Rafale deviennent très rapidement le cure-dent de la guerre conventionnelle, face à des essaims de drones coordonnés par de l’IA.

Tout au début des années 2010, on a vu arriver les premiers cryptolockers ou ransomwares. Les bestioles étaient rudimentaires et ne savaient pas chiffrer grand-chose à part le disque local de la machine. On a été un certain nombre de RSSI à voir arriver la menace : on se disait déjà, à l’époque, que dès que ces malwares seraient capables de se propager facilement et de chiffrer des volumes entiers, voire des databases, ce serait le début de la chienlit. Résultat : des attaques cyber massives contre Saint-Gobain, le CHU de Rouen, le CH de Dax, etc.. Rétrospectivement, c’est dingue de voir le temps que les industriels auront mis à prendre réellement la mesure de cette nouvelle menace (et à développer les produits qui vont bien), et les pouvoirs publics à en appréhender l’impact sur l’économie française. Sans parler de certaines DSI et de leurs processus de décision parfois précambriens.

Une petite décennie plus tard, on est en train de voir le film se rejouer : Anthropic a rendu publique une découverte qui marque un tournant majeur dans l’histoire du cyberespionnage. Pour la première fois, une campagne complète d’attaque numérique, une cyberattaque, aurait été orchestrée par une IA agissant de manière largement autonome[1]. Certes, pour l’instant, il s’agit plus d’un POC que d’autre chose. Pour l’instant…

À partir de là, comme Neo dans Matrix nous avons le choix entre deux pilules.

Pilule rouge : le POC reste à l’état de POC et ne débouche sur rien. Pas industrialisable, mais extensible, limité dans les modes d’attaque, protections mises en œuvre par les éditeurs de LLM pour éviter ce genre d’amusette pour ados, etc.

Pilule bleue : ça va tout péter. Comme les cryptolockers il y a dix petites années, et on n’a pas fini d’encaisser le choc du reste.

La lutte entre le glaive et le bouclier est consubstantielle à l’histoire militaire, c’est le jeu. Du cure-dent au missile nucléaire intercontinental, les armées et les peuples jouent depuis des millénaires à celui qui aura le plus balèze. Et l’histoire est un cimetière de civilisations qui ont à un moment pensé que les hostilités étaient terminées et qu’on était tous frères sur cette planète, passe-moi la fumette Josette que je tire une taf, après, c’est ton tour.

Sauf que la conséquence (ou la cause, à vous de voir) de la pilule bleue, c’est que la dernière cyberarme qui est en train d’arriver en ville (le croisement génétique entre les LLM et les attaques cyber) est accessible à un ado prépubère. Pour développer un cryptolocker from scratch ou un outil générateur, il faut tout de même s’y connaître un tantinet en développement de haut niveau, dans les fondamentaux des OS, les espaces mémoires, les pointeurs, etc. OK, cela s’apprend, mais (j’ai récemment vérifié) ma grand-tante ne sait pas faire. Par contre, ma grand-tante, elle utilise ChatGPT, et il ne lui faudrait pas longtemps pour apprendre les agents d’automatisation, c’est dire. Et ne venez pas me rétorquer que les fournisseurs de LLM vont implémenter des protections pour éviter le détournement de leurs produits, il fait froid, j’ai les lèvres un peu gercées, je ne peux pas rire.

Si Neo choisit la pilule bleue, une bonne partie des technologies de protection actuelles vont se faire trouer de partout, deviendront le cure-dent dans la guerre cyber mondiale, et autant avec les cryptos on avait une ébauche de début de stratégie, là, on n’en a aucune. Je ne sais pas s’il y a un rapport, mais depuis quelque temps je reçois (pro et perso) des arnaques à la signature de documents Docusign réalisés à s’y tromper, même un œil aguerri a du mal à détecter l’arnaque.

Le tout dans un silence catatonique de l’écosystème cyber, fournisseurs, pouvoirs publics, etc.

Ça va être la fête.

Si vous avez juste un cure-dent dans la poche de votre blouson, inquiétez-vous.