Des chercheurs de l’université de Cambridge ont mis au point un ver IA capable de s’adapter à l’ensemble d’un réseau.

Des chercheurs de l’université de Toronto et d’autres institutions ont réussi une preuve de concept d’un ver IA autonome qui, au lieu de s’appuyer sur une liste fixe de vulnérabilités, utilise de petits modèles de langage open weight pour analyser lui-même ses cibles, élaborer une stratégie d’attaque et se propager dans les réseaux d’entreprise.

Traduction intégrale

Des chercheurs de l’université de Toronto, du Vector Institute et de l’université de Cambridge ont développé et testé un modèle de preuve de concept (PoC) d’un ver autonome basé sur l’IA qui fonctionne sans dépendre d’une liste fixe d’exploits (attaques de vulnérabilités). Ce ver analyse lui-même chaque cible qu’il rencontre, déduit comment l’attaquer et élabore sa stratégie à la volée. Tout cela est rendu possible avec l’aide de petits modèles de langage (LLM) open weight, gratuits, exécutés directement sur les appareils déjà infectés.

Un ver fondé sur des modèles open weight hébergés sur le matériel infecté

Les chercheurs expliquent que « notre prototype cible des vulnérabilités publiques mais non corrigées, des mauvaises configurations et des classes de vulnérabilités récurrentes, qui sont précisément les éléments sur lesquels reposent la plupart des cyberattaques réelles ». Ils ajoutent que « ce ver n’a pas besoin de découvrir de nouvelles vulnérabilités zero-day ; il suffit d’un modèle d’IA doté d’une intelligence suffisante pour exploiter en conditions réelles des vulnérabilités existantes adaptées à diverses configurations de cibles ».

Dans un environnement de test réseau isolé comprenant 33 hôtes — des serveurs Linux, des machines Windows et des objets connectés présentant des vulnérabilités connues, des erreurs de configuration et des faiblesses courantes — les chercheurs ont mené 15 expériences indépendantes, chacune durant 7 jours.

Les résultats montrent que le ver a correctement identifié en moyenne 31,3 vulnérabilités {b:31.3}, attaqué 23,1 hôtes avec élévation de privilèges {b:23.1}, et réussi à se propager vers 20,4 hôtes {b:20.4}. (Sur les 33 hôtes au total, le taux d’infection et de propagation atteint environ 62 % {p:62}.)

Le ver a également montré sa capacité à réussir des attaques contre des vulnérabilités publiées après la date de cutoff des données d’entraînement du modèle de base, comme Copy Fail, Dirty Frag ou Marimo RCE, en lisant à l’exécution des bulletins de sécurité publics, en en extrayant les informations nécessaires et en produisant des exploits fonctionnels.

Il a en outre été capable de diagnostiquer des échecs inattendus à l’aide de capacités de raisonnement général et d’en trouver la solution. Par exemple, il a découvert par lui-même une liste de blocage d’adresses IP codée en dur dans son propre code source, puis l’a modifiée sans recevoir la moindre instruction. Dans un autre cas, lorsqu’un bug dans la vérification de détection de machine virtuelle (VM) faisait planter ses copies sur des hôtes Alpine Linux et Windows Server 2008, le ver parent a trouvé sur la machine cible les fichiers sources d’authentification, supprimé la logique de vérification problématique, puis réessayé avec succès.

Un ver prototype qui ne dépend pas des plateformes d’IA commerciales

L’aspect particulièrement inquiétant de ce prototype tient à sa capacité à se maintenir par lui-même. Le ver détourne les appareils infectés équipés de GPU afin d’exécuter localement le modèle de langage grâce aux ressources de calcul volées. Les appareils peu puissants, comme des capteurs IoT incapables d’héberger eux-mêmes le modèle, acheminent leurs requêtes d’inférence vers des nœuds GPU infectés situés en amont du réseau.

Les mécanismes de contrôle mis en place par les plateformes d’IA commerciales ne peuvent donc pas empêcher ce nouveau type de menace, et cela montre qu’il est facile de contourner les garde-fous de sécurité des modèles open weight lorsqu’un attaquant contrôle entièrement l’environnement d’exécution local.

Les chercheurs précisent que « la preuve de concept que nous avons évaluée hérite directement des limites de capacité du modèle de base. Le taux de réussite de chaque tentative d’exploit individuelle était de 44 % {p:44}, et la plupart des échecs provenaient non pas d’une mauvaise stratégie d’attaque, mais de charges utiles défectueuses ». Ils ajoutent que « le ver a eu des difficultés en particulier avec l’architecture des applications web, les environnements de commande Windows et le traitement syntaxique de payloads nécessitant des manipulations de chaînes très précises. Cela reflète simplement les limites actuelles de génération de code des modèles à GPU unique de la génération actuelle, et non une contrainte fondamentale de cette approche ; ces limites seront surmontées à mesure que la génération de code et les capacités de sortie structurée des modèles de langage progresseront. Malgré la fragilité de ces tentatives individuelles, l’architecture en swarm du ver compense par des trajectoires de raisonnement parallèles et indépendantes, ce qui lui a permis d’atteindre les résultats rapportés ».

Les meilleures défenses actuelles face aux vers basés sur l’IA

Les chercheurs reconnaissent ouvertement le caractère dual-use de cette recherche et ont omis de l’article public les détails opérationnels précis, notamment l’architecture de raisonnement de l’agent, l’ensemble complet des outils et le nom des LLM utilisés. Avant publication, ils ont partagé leurs conclusions avec plusieurs autorités canadiennes chargées des questions scientifiques, de sécurité et de défense, et ont bénéficié d’un accompagnement de relecture afin de s’assurer que l’article ne contienne pas d’informations utiles à des attaquants. (Les chercheurs en sécurité peuvent demander un accès au prototype auprès de l’université de Toronto.)

En raison de ses capacités innovantes d’auto-réplication, les chercheurs ont également veillé avec une extrême prudence à maintenir le ver strictement isolé dans le laboratoire de test afin d’éviter toute fuite vers l’extérieur.

Les chercheurs soulignent que « cette étude apporte une preuve empirique que les cyberattaques autonomes sont passées d’un risque théorique à une capacité réelle démontrée, ce qui constitue un défi pour la recherche en IA, la cybersécurité et les politiques publiques ». Ils insistent aussi sur le fait que « cette étude révèle une nouvelle menace en cybersécurité à laquelle le monde n’est pas encore prêt à faire face. Les chercheurs, l’industrie, les décideurs publics et le grand public doivent urgemment unir leurs efforts pour répondre à cette nouvelle menace ».

Sur le plan défensif, cette étude met en avant deux priorités :

• Utiliser des outils automatisés de tests d’intrusion et de fuzzing assistés par IA : les organisations doivent découvrir et corriger les faiblesses exploitables de leur propre infrastructure avant que des acteurs malveillants ne les trouvent.
• Un cloisonnement réseau rigoureux : une segmentation réseau appropriée peut freiner de manière significative la propagation d’un ver. Les principes de « zero trust », qui consistent à ne faire confiance à rien à l’intérieur du périmètre et à exiger une authentification continue pour toute demande d’accès, ainsi que la « micro-segmentation », qui limite l’étendue des dégâts en cas de compromission, sont indispensables.

Les chercheurs avertissent que la signature comportementale de ce ver prototype peut encore être détectée par les outils actuels de supervision réseau et les systèmes de détection d’intrusion (IDS), mais que de futurs vers créés par des acteurs malveillants pourraient devenir bien plus habiles pour contourner ces mécanismes de détection.