Cywise   CYWISE
retour au blog

Et si on noyait les IA sous un déluge de fausses vulnérabilités ? Posté dans la catégorie Général le par Engineering.

Si cette approche vous intrigue ou si vous souhaitez l'expérimenter dans votre environnement, n'hésitez pas à me contacter à csavelief@cywise.io

Les IA offensives bouleversent l'économie de la cyberattaque. Des outils comme Mythos peuvent scanner une infrastructure, identifier des failles exploitables et générer des PoCs en quelques minutes, là où il fallait auparavant des semaines d'expertise humaine. Résultat : le coût de la reconnaissance offensive s'effondre.

En cybersécurité, cette asymétrie est connue : attaquer coûte peu, défendre coûte cher. Patcher plus vite ne suffit plus si l'attaquant automatise encore davantage sa découverte de vulnérabilités.

Mais une autre approche pourrait émerger : et si, au lieu de cacher les vraies vulnérabilités, on noyait l'attaquant sous des milliers de fausses ?

Des leurres crédibles à coût quasi nul

Créer de fausses vulnérabilités (faux endpoints, dépendances fictives, services volontairement suspects) ne coûte presque rien, surtout avec des LLMs.

Pour une IA offensive, en revanche, chaque signal doit être analysé, qualifié et potentiellement exploité. Chaque faux positif consomme du temps, des calculs et des tokens.

La logique rappelle la défense anti-drone : envoyer un drone coûte peu, l'intercepter coûte cher. Ici, le rapport s'inverse : le leurre est quasi gratuit pour le défenseur, mais coûteux à traiter pour l'attaquant.

À grande échelle, l'infrastructure devient un champ de mines économique où distinguer le réel du faux devient incertain et coûteux.

Un avantage réservé au défenseur

Cette stratégie repose sur un avantage fondamental : seul le défenseur connaît la différence entre les vraies vulnérabilités et les leurres.

Une IA offensive observe l'infrastructure de l'extérieur. Elle détecte des signaux et formule des hypothèses, mais ne peut pas savoir si une faille est réelle ou conçue pour la piéger (sauf à investir davantage dans l'analyse).

L'organisation, elle, conserve le registre : faux accès, dépendances fictives, honeypots ou services trompeurs.

Le principe n'est pas nouveau. Les précédents militaires abondent : faux chars, fausses émissions radio, armées fictives. La nouveauté, c'est que l'IA permet désormais de générer et renouveler cette déception à grande échelle et à coût marginal.

Les défis à relever

Pour fonctionner, les leurres doivent rester crédibles :

  • Plausibles : fondés sur des schémas techniques réalistes.

  • Renouvelés : pour éviter que les IA adverses apprennent à les reconnaître.

  • Intégrés naturellement : mêlés à l'infrastructure réelle.

Le principal risque est interne : se perdre dans ses propres leurres. Sans registre rigoureux, les équipes peuvent perdre du temps sur de fausses failles ou négliger les vraies. La gouvernance devient donc aussi importante que la technologie.

Et la course reste dynamique : les IA offensives apprendront à détecter les leurres les plus prévisibles. La déception devra évoluer en permanence.

Une nouvelle couche de défense

La cybersécurité a longtemps cherché à réduire la surface d'attaque. À l'ère des IA offensives, cela ne suffit plus.

Quand l'analyse devient quasi gratuite pour l'attaquant, la surface doit aussi devenir trompeuse.

Les fausses vulnérabilités ne remplaceront pas les défenses classiques, mais elles peuvent ajouter une couche efficace contre les attaques automatisées en s'attaquant directement à leur économie.

Dans cette logique, la meilleure défense n'est peut-être plus seulement de réduire le risque... mais d'augmenter le coût de l'attaque.