En 2016, un cyberpirate britannique défrayait la chronique en attaquant simultanément tous les routeurs de l’opérateur allemand Deutsche Telekom, grâce à une faille informatique qui n’avait pas été détectée. Il paralysait ainsi plus d’1,25 millions d’internautes, et causait des millions d’euros de dégâts. 24 heures avant cette cyberattaque mémorable, les chercheurs et chercheuses du Laboratoire de Haute Sécurité (LHS) , une plate-forme commune à Inria et au Loria avec laquelle Jérôme François travaille en étroite collaboration, avaient repéré un pic d’activité inhabituel dans les flux de données sur Internet. Ils savaient qu’il y avait un « problème » et que « quelque chose » allait se passer… mais quoi ? où ? et quand ?... Mystère ! « Le projet ThreatPredict vise à développer les outils nécessaires pour faire de telles prédictions de façon suffisamment fine pour permettre d’alerter les cibles et leur donner la possibilité de se protéger, ou au moins de se prépare », explique Jérôme François.
Les chercheurs de l’équipe RESIST, avec le soutien de la plate-forme LHS, utilisent un système très élaboré pour identifier et analyser les flux de données sur Internet. Ils disposent de plus de 4000 adresses IP – l’équivalent de l’adresse postale pour des ordinateurs ou des objets connectés – qui ne correspondent à aucune machine physique. Ces adresses IP sont néanmoins connectées à tout le réseau Internet et reçoivent le même flux d’informations et d’attaques que n’importe quelle machine réelle. Plus précisément, chacune de ces adresses reçoit entre 8000 et 10000 cyberattaques par jour. La météo est agitée sur Internet !
Les scientifiques peuvent visualiser les flux d’informations reçues par ces 4000 adresses IP et ainsi évaluer la quantité d’informations échangées. Lors d’une cyberattaque de grande envergure, la quantité de données échangées sur Internet augmente de façon significative : les scientifiques peuvent ainsi savoir qu’il va « se passer quelque chose ». D’autre part, ils récupèrent également les informations envoyées à ces adresses « fantômes » pour les analyser. Ils affinent ainsi leur compréhension des mécanismes des cyberattaques et espèrent identifier des marqueurs de prédiction fiables.
Ces milliers d’attaques peuvent cibler un pays, une région, ou un service précis comme dans l’attaque contre Deutsche Telekom . Pour le moment, les chercheurs et chercheuses peuvent affiner leurs prédictions jusqu’à identifier une zone géographique-cible, ou des entreprises d’un certain domaine d’activités, mais pas encore la victime, machine ou personne, précise. De la même façon, la temporalité des attaques reste très difficile à anticiper sur la base seule de l’observation et de l’analyse des flux de données.
L’originalité du projet ThreatPredict réside dans la combinaison de ces données techniques avec l’analyse en temps réel des sentiments, opinions, et émotions exprimés sur Twitter, ainsi qu’avec des données de contexte, comme par exemple des événements sportifs ou géopolitiques ou la publication de données économiques sur les entreprises. Ces informations plus qualitatives et sociétales permettent d’affiner les prédictions et de les relier à des revendications sociales ou politiques qui peuvent s’exprimer sur Internet par le biais de cyberattaques. « De grands événements nationaux ou internationaux, tels que les Jeux Olympiques ou des élections, coïncident généralement avec des cyberattaques qu’il serait utile de pouvoir anticiper précisément », explique Ghita Mezzour, dont l’équipe a intégré l'analyse des sentiments sur Twitter pour la prédiction.
D’ici à 2020, quand ThreatPredict s’arrêtera, les scientifiques ambitionnent donc de combiner les données quantitatives et qualitatives issues de leurs analyses pour créer un outil fiable et précis de prédiction des cyberattaques, et de le tester. « Nous devons être absolument sûr.e.s de nos prédictions pour éviter les fausses alertes qui nuiraient à notre crédibilité », conclut Jérôme François. En effet, dans ce domaine comme pour la météo, mieux vaut éviter de crier à la pluie…
S’il est pour le moment impossible de prédire une cyberattaque, les chercheurs et chercheuses de l’équipe-projet RESIST ont néanmoins mis à disposition du grand public et des expertes et experts un certain nombre d’outils utiles :