À l'ère du numérique, la sécurité des logiciels est devenue primordiale. Pour détecter les vulnérabilités logicielles, les scientifiques ont développé des systèmes de détection basés sur l'apprentissage profond. Ces systèmes agissent comme des « agents de sécurité » pour les logiciels, capables d'identifier rapidement les risques potentiels. Cependant, une récente étude nommée EaTVul a mis ces « agents de sécurité » en échec.
Imaginez qu'une personne puisse rendre un objet dangereux indétectable par un système de sécurité : c'est terrifiant ! Des chercheurs du CSIRO Data61, de l'Université de technologie Swinburne et du groupe australien DST ont présenté EaTVul, une stratégie d'attaque d'évitement innovante. EaTVul vise à révéler la vulnérabilité des systèmes de détection basés sur l'apprentissage profond face aux attaques adversariales.
EaTVul modifie subtilement le code vulnérable pour tromper le système de détection, lui faisant croire que tout est normal. C'est comme si l'on habillait un objet dangereux d'une « cape d'invisibilité », trompant ainsi l'œil vigilant de la sécurité.
EaTVul a été rigoureusement testé, avec un taux de réussite étonnant. Pour les fragments de code de plus de deux lignes, son taux de réussite dépasse 83 %, et il atteint même 100 % pour les fragments de quatre lignes ! Dans diverses expériences, EaTVul a constamment manipulé les prédictions du modèle, exposant ainsi les failles importantes des systèmes de détection actuels.
Le fonctionnement d'EaTVul est assez intéressant.
Il utilise d'abord une méthode appelée machine à vecteurs de support pour identifier les échantillons non vulnérables clés, comme si l'on identifiait les questions les plus ambiguës d'un examen. Ensuite, il utilise une technique appelée mécanisme d'attention pour identifier les caractéristiques clés qui influencent le jugement du système de détection, comme si l'on identifiait les points importants de la réponse qui intéressent le correcteur.
Puis, il utilise ChatGPT, un robot conversationnel IA, pour générer des données trompeuses, comme si l'on inventait des réponses apparemment correctes mais fausses. Enfin, il utilise un algorithme génétique flou pour optimiser ces données, afin qu'elles trompent au maximum le système de détection.
Les résultats de cette recherche sonnent l'alarme dans le domaine de la sécurité des logiciels. Ils montrent que même les systèmes de détection les plus avancés peuvent être trompés. Cela nous rappelle que même les systèmes de sécurité les plus rigoureux peuvent présenter des failles. Par conséquent, nous devons constamment améliorer et renforcer ces systèmes, comme si nous devions constamment mettre à niveau nos équipements de sécurité, pour faire face à des « hackers » de plus en plus rusés.
Adresse de l'article : https://arxiv.org/abs/2407.19216
Points clés :
🚨 EaTVul est une nouvelle méthode d'attaque qui trompe efficacement les systèmes de détection des vulnérabilités logicielles basés sur l'apprentissage profond, avec un taux de réussite de 83 % à 100 %.
🔍 EaTVul utilise des techniques telles que les machines à vecteurs de support, les mécanismes d'attention, ChatGPT et les algorithmes génétiques flous pour modifier subtilement le code vulnérable afin d'échapper à la détection.
⚠️ Cette étude révèle la vulnérabilité des systèmes actuels de détection des vulnérabilités logicielles, et appelle au développement de mécanismes de défense plus robustes pour contrer ce type d'attaque.
