La ligne de front dans la bataille pour protéger l'infrastructure critique des États-Unis est passée ce mois-ci par une maison de location dans le comté d'Orange.
Plus d'une douzaine de hackers de l'Université d'État de l'Arizona, de l'Université de Californie-Santa Barbara et de l'Université de Purdue tapaient sur des ordinateurs portables disposés sur des tables, des canapés et le comptoir de la cuisine, observant par-dessus l'épaule et demandant de temps en temps de l'aide à leurs camarades ou professeurs.
La mission du hackathon : écrire un programme capable de scanner des millions de lignes de code ouvert, d'identifier des vulnérabilités de sécurité et de les réparer, le tout sans intervention humaine. Le succès signifierait gagner des millions de dollars dans un concours de deux ans sponsorisé par DARPA, l'Agence des projets de recherche avancés de défense.
Ce concours est l'un des signes les plus clairs à ce jour que le gouvernement considère les vulnérabilités du logiciel open source comme l'un des plus grands risques de sécurité du pays, et juge que l'intelligence artificielle est essentielle pour y faire face.
Les programmes gratuits de code ouvert, comme le système d'exploitation Linux, aident à faire fonctionner tout, des sites web aux centrales électriques. Le code n'est pas intrinsèquement pire que celui des programmes propriétaires d'entreprises comme Microsoft et Oracle, mais il n'y a pas assez d'ingénieurs qualifiés pour le tester.
En conséquence, le code gratuit mal entretenu a été à l'origine de certaines des violations de cybersécurité les plus coûteuses de tous les temps, y compris la catastrophe d'Equifax où des informations personnelles de la moitié de tous les Américains ont été exposées. Cet incident, qui a conduit au plus gros règlement de violation de données jusqu'à présent, a coûté à l'entreprise plus de mille millions de dollars en améliorations et amendes.
Si les personnes ne peuvent pas suivre tout le code qui s'entrelace dans chaque secteur industriel, DARPA espère que les machines pourront le faire.
“L'objectif est d'avoir un ‘système de raisonnement cybernétique’ de bout en bout qui tire parti des grands modèles linguistiques pour détecter des vulnérabilités, prouver qu'elles le sont et les patcher”, a expliqué l'un des professeurs conseillers, Yan Shoshitaishvili de l'Université d'État de l'Arizona.
Pour y parvenir, l'équipe doit faire face à la réalité souvent sombre derrière les grandes ambitions de l'IA. Les étudiants effectuent des tâches telles que imposer des “contrôles de santé mentale” pour détecter des hallucinations, vérifiant que les patchs résolvent réellement les problèmes qu'ils sont censés résoudre, et faisant débattre deux systèmes d'intelligence artificielle sur les meilleures solutions, un troisième IA décidant du gagnant.
“L'IA est comme un enfant de 3 ans avec une connaissance infinie”, a déclaré Lukas Dresel, étudiant diplômé de l'UC-Santa Barbara et co-capitaine de l'équipe. “Vous devez lui donner des retours exploitables.”
L'équipe Shellphish est l'un des quelque 40 concurrents dans une compétition connue sous le nom de AIxCC, acronyme de “défi cybernétique de l'intelligence artificielle”, dirigée par DARPA, le bras de recherche du Pentagone chargé de développer des armes secrètes et de s'en défendre.
“Nous voulons redéfinir comment nous sécurisons les bases de code largement utilisées et critiques”, a déclaré Andrew Carney, responsable de projet de DARPA pour le concours.
Bien que DARPA ait contribué à donner vie à l'Internet pour survivre aux pannes de communication, il est devenu douloureusement évident que le réseau a également introduit d'énormes faiblesses.
Sans sécurité intégrée, les vastes interconnexions permettent à quiconque ou à quoi que ce soit de commencer de n'importe où et de chercher des moyens d'entrer dans les machines qui propulsent le monde moderne. Une fois à l'intérieur, les utilisateurs peuvent se faire passer pour des employés ou des administrateurs de systèmes, voler des secrets nationaux ou commerciaux, et fermer l'endroit ou le retenir en otage contre une rançon.
Les hackers réclament plus de victimes que jamais : le nombre de violations de données signalées au Centre de plaintes de crimes sur Internet du FBI a triplé. Les agents gouvernementaux infiltrent les centrales électriques et les systèmes d'eau de nations rivales. Les bandes criminelles qui se remplissent les poches avec des bénéfices illicites n'hésitent pas à fermer des hôpitaux et à envoyer des patients désespérés ailleurs.
Le logiciel open source, qu'il soit écrit par des étudiants ou par des génies visionnaires, est presque aussi omniprésent que l'Internet lui-même, selon certaines estimations, il se trouve dans 90 % des logiciels commerciaux.
Comme tout logiciel, il a des bugs, certains pouvant être exploités pour prendre le contrôle d'une machine.
Certains grands projets de code ouvert sont dirigés par des armées de bénévoles de la taille de Wikipedia et, en général, sont en bon état. Certains disposent de maintien par des financements d'utilisateurs corporatifs majeurs qui en font un travail.
Et puis, il y a tout le reste, y compris des programmes écrits en tant que devoirs scolaires par des auteurs qui se souviennent à peine d'eux.
“Le code ouvert a toujours été ‘Utilisez-le à vos risques et périls’”, a déclaré Brian Behlendorf, qui a lancé la Open Source Security Foundation après des décennies de maintien d'un logiciel de serveur pionnier, Apache, et d'autres projets dans la Fondation Apache du logiciel.
“Ce n'est pas gratuit au sens de la liberté d'expression, ni même gratuit au sens de la bière,” a-t-il dit. “C'est gratuit au sens de chiot, et cela nécessite des soins et de la nourriture.”
Les risques ont été soulignés récemment par deux incidents très différents.
Le premier a été une vulnérabilité dans un petit programme de suivi de l'activité système, connu sous le nom de Log4j, utilisé par des milliers de développeurs de logiciels et installé sur des millions de machines.
Un utilisateur a proposé d'ajouter un peu de code à Log4j, et la petite équipe de la Fondation Apache qui maintenait Log4j l'a approuvé. Un ingénieur chinois a remarqué que la section ajoutée contenait une faille de conception massive qui permettrait la prise de contrôle du système, et a signalé le problème au groupe Apache.
Alors que Apache travaillait sur un patch pour résoudre le problème, un chercheur non identifié a découvert les changements en attente et a développé un outil malveillant pour prendre le contrôle des ordinateurs exécutant Log4j. Apache a rapidement publié le patch, donnant le coup d'envoi d'une course entre des milliers de défenseurs et ceux qui tentaient d'exploiter la faille avant qu'elle ne soit corrigée.
De nombreuses instances de Log4j n'ont pas encore été réparées. L'Agence de sécurité nationale et d'autres ont averti que des espions nord-coréens continuaient à s'infiltrer dans les serveurs web américains exécutant des versions anciennes.
La Commission de révision de la cybersécurité de la Maison Blanche a conclu que seule une meilleure codification et des audits approfondis auraient pu stopper la distribution de la faille de Log4j, et que les efforts de code ouvert comme celui de Apache “auraient besoin de soutien financier et d'expertise soutenus.”
L'Agence de cybersécurité et de sécurité des infrastructures (CISA) du Department of Homeland Security a répondu par de petites subventions à des start-ups et a exercé des pressions sur les entreprises pour qu'elles déclarent ce qu'il y a à l'intérieur de leur logiciel. Mais ce sont des initiatives à mouvement lent.
Le dernier rappel de la vulnérabilité est survenu en mars. C'est alors qu'un ingénieur de Microsoft a tracé une légère augmentation de l'utilisation du processeur vers des outils open source pour Linux qui venaient d'être mis à jour. Il a découvert qu'une porte dérobée pour l'espionnage avait été insérée par le mainteneur officiel des outils, et a tiré la sonnette d'alarme à temps pour arrêter son expédition dans les versions les plus populaires de Linux.
Dans un scénario de cauchemar pour les professionnels de la sécurité, le mainteneur anonyme avait gagné le contrôle du projet après avoir contribué pendant des années, assisté par des alliés secrets qui ont poussé l'ancien responsable à céder le contrôle.
Alors que la sécurité du code ouvert devenait une priorité absolue pour CISA et l'establishment de la sécurité nationale, OpenAI et Microsoft ont lancé ChatGPT et l'intelligence artificielle générative dans le monde.
En démocratisant la programmation, les nouveaux outils ont permis aux non-programmeurs de créer des logiciels. L'IA a également aidé les programmeurs existants, y compris les hackers criminels qui pouvaient intégrer plus rapidement des astuces pour exploiter des vulnérabilités et offrir des appâts plus convaincants, comme des courriels semblant provenir de contacts réguliers partageant des intérêts.
L'IA encourage également des efforts défensifs, comme l'analyse de tas de logs à la recherche de comportements inhabituels et le résumé des incidents de sécurité. Elle peut également marquer des erreurs de sécurité dans les programmes au fur et à mesure qu'ils sont écrits.
Mais découvrir où se trouvent les trous dans les programmes open source avant que les attaquants ne les trouvent est le saint Graal pour DARPA et les concurrents de AIxCC.
DARPA a organisé un défi cybernétique à la convention de hackers Def Con, où les programmes ont concouru dans une compétition de “capture de drapeau” pour se pirater mutuellement dans un environnement artificiel.
Dans le concours de cette année, les équipes utilisent leurs programmes améliorés avec l'IA pour digérer et améliorer des millions de lignes de code réel.
Shellphish est l'une des sept équipes ayant rédigé des articles décrivant leur approche suffisamment bien pour obtenir un million de dollars de financement pour les étapes qui culmineront dans les demi-finales en août à Def Con, attirant 40 soumissions. Le gagnant recevra 2 millions de dollars supplémentaires en 2025.
Une partie du premier million de dollars de Shellphish a été utilisée pour la maison listée sur Airbnb à Brea, qui a hébergé des hackers pendant trois semaines en juin et deux autres en juillet. Plus a été affecté à un énorme environnement de test utilisant 5 000 cœurs de processeur.
Shellphish n'est pas un groupe aléatoire de hackers. Bien qu'étroitement associé à deux universités publiques avec des effectifs changeants, l'équipe existe depuis 20 ans, et ses fondateurs y sont toujours impliqués.
Le natif italien Giovanni Vigna enseignait la sécurité informatique à l'UC-Santa Barbara, y compris les techniques d'attaque et de défense, lorsqu'il a fondé une équipe de capture de drapeau en 2003 pour intéresser plus d'étudiants et élargir leurs capacités. Elle a remporté la compétition Def Con en 2005, et un dérivé de l'équipe a organisé le concours pendant quatre ans par la suite.
Alors que ses étudiants obtenaient leur diplôme et se dispersaient en Arizona et dans d'autres endroits, certains sont restés impliqués ou ont intégré leurs propres étudiants.
Shellphish a participé au Grand Défi Cybernétique de 2016, mais a été éliminé en finale.
“Nous avions tous ces outils géniaux mais nous manquions de temps pour les intégrer”, se souvient Shoshitaishvili. “‘Ne vous laissez pas distraire par les nerds’ était mon conseil numéro un.” (Être distrait par les nerds fait référence à distraire quelqu'un de technique avec un problème intéressant).
Centrées sur l'effort, il y a des outils connus en sécurité sous le nom de “fuzzers”. Ceux-ci envoient tout type de données à un programme pour voir comment il gère l'inattendu.
Même les fuzzers améliorés ne trouveront pas les défauts les plus obscurs ou les portes dérobées délibérées, admettent les membres de l'équipe. Au mieux, le programme maître de Shellphish et les autres pourront trouver de nombreuses erreurs mineures, rapidement, et s'en débarrasser avant que des hackers malveillants ne puissent les exploiter.
“L'IA pourra résoudre des problèmes qui prendraient des mois aux humains,” a déclaré Dresel.
Conformément aux termes du concours de DARPA, tous les finalistes doivent lancer leurs programmes sous forme de code ouvert, afin que les fournisseurs de logiciels et les consommateurs puissent les exécuter.
Yan a comparé l'avancée attendue à des jalons de sécurité tels que les mises à jour de logiciels forcées et les “sandbox” des navigateurs qui empêchent les programmes web de s'échapper du navigateur et de s'exécuter ailleurs sur l'appareil de l'utilisateur.
L'IA ne pourra pas rendre tout le logiciel sûr, a-t-il dit. Mais cela donnera aux humains plus de temps pour essayer de le faire.
Après une dernière nuit presque blanche de débogage et de corrections de dernière minute dans la panique, Shellphish a présenté son programme avant la date limite de 9 heures du matin. Dans quelques semaines, lors du prochain Def Con à Las Vegas, ils sauront s'ils sont des finalistes. Qu'ils gagnent ou perdent, leur code assisté par IA sera disponible pour que d'autres puissent l'utiliser, améliorant la sécurité pour tous.
(c) 2024 , The Washington Post
Nouveau