19.12.2024
Le cyberespace à l’ère de l’intelligence artificielle
Presse
15 octobre 2018
IA et cybersécurité
Dans le domaine de la cybersécurité, les innovations technologiques sont une nécessité pour affronter le niveau de perfectionnement toujours accru des cyberattaques – c’est un truisme que de le rappeler. D’ailleurs de nouvelles startups, avec leur lot de technologies chaque jour plus « disruptives », fleurissent régulièrement sur le marché, en proposant des produits fondés sur l’apprentissage automatique (machine learning), le cloud computing ou l’Internet des Objets (Internet of Things, IoT).
Cet attrait grandissant pour les nouvelles technologies de cybersécurité ne laisse pas les investisseurs indifférents. Selon CB Insights, ce sont 3,8 milliards de dollars qui furent injectés dans les entreprises de cybersécurité en 2015, et les chiffres ne cessent de croître année après année. Toutefois, depuis le début de la décennie, c’est surtout l’intelligence artificielle qui occupe les esprits de la communauté cybernétique. Les promesses formidables que renferme ce faisceau de techniques éveillent l’intérêt des professionnels du secteur tout comme celui des pirates informatiques.
Du côté de la défense, la pénurie de talents et la hausse toujours croissante des menaces sur la sécurité informatique conduisent les industriels à s’intéresser de plus près à l’IA que par le passé. Le principal avantage de l’IA est sa faculté à soulager le facteur humain de tâches fastidieuses, répétitives et chronophages, et ce avec une meilleure capacité de réaction pour traiter, par exemple, le nombre incalculable d’alertes qui inondent quotidiennement les systèmes TIC. L’IA peut permettre de repérer, d’analyser et de répondre à des cyberattaques plus rapidement qu’aucun humain ne saurait le faire. Ce faisant, elle fournit un instrument qui, appliqué à la cybersécurité, peut améliorer l’efficacité et renforcer la protection des technologies de l’information, en particulier pour les entreprises contraintes par le temps et par les ressources, financières ou humaines.
Du côté des assaillants éventuels, l’IA offre également de nouvelles opportunités, par les vulnérabilités qu’elle génère, et dont peuvent tirer parti les pirates informatiques : pour les attaques par déni de service, le vol de données ou encore l’usurpation d’identité. En 2016, deux data scientists (spécialistes des données) de l’entreprise de sécurité ZeroFOX ont mené une expérience pour identifier qui, de l’humain ou de l’IA, était le plus doué pour inciter les utilisateurs de Twitter à cliquer sur des liens malveillants. Les chercheurs ont appris à une IA à étudier le comportement des utilisateurs de réseaux sociaux, puis ils lui ont enseigné l’art de concevoir et d’exécuter son propre appât d’hameçonnage (phishing). Résultat : le pirate artificiel était sensiblement meilleur que ses concurrents humains. Il est parvenu à rédiger et à diffuser plus de tweets d’hameçonnage que les humains, avec un taux de « clics » bien supérieur.
La capacité d’une IA à cerner certaines caractéristiques comportementales des internautes, certains de leurs goûts, de leurs affinités, de leurs schèmes cognitifs, de leurs réseaux de sociabilité – grâce aux données qu’ils produisent dans le cyberespace –, pourrait également permettre au pirate qui la contrôle de mener une cyberpropagande très efficace et – à durée égale – bien plus précise et sur une échelle bien plus large qu’avec les outils traditionnels dont il dispose actuellement. Il n’est pas douteux que des groupes terroristes cherchent d’ores et déjà à s’emparer de ces technologies. Eu égard à leur utilisation des réseaux sociaux et des drones commerciaux à des fins logistiques, d’attaque et de propagande, on imagine aisément l’usage qu’ils en feraient. Mais rien n’indique que ces entrepreneurs de violence représentent les seules menaces qui accompagnent l’émergence de l’IA dans le champ cybernétique : les États eux-mêmes, en particulier non démocratiques, pourraient y voir un instrument séduisant pour renforcer leur arsenal militaire ou policier.
Le risque démocratique
Bien entendu, l’utilisation de l’IA dans le cyberespace n’est pas circonscrite au cercle très fermé des acteurs de la sécurité informatique, tant s’en faut. Les technologies associées à l’IA et en particulier à l’apprentissage profond (deep learning), comme le traitement du langage naturel, la reconnaissance faciale et vocale, ou encore le filtrage des réseaux sociaux, sont autant d’instruments d’ingénierie sociale mis à la disposition des États et des grandes firmes technologiques.
Les nouvelles pratiques de régulation et de contrôle sociaux introduites par l’IA dans la sphère cybernétique ont connu une ascension sans précédent ces cinq dernières années. Dans ce secteur, la Chine est devenue un leader incontesté : les données de ses 800 millions d’internautes et 700 millions d’utilisateurs de smartphones font l’objet d’une collecte et d’un stockage systématiques dans les centres de données depuis 2013, et elles sont utilisées afin de surveiller et de contrôler la population, tel un panoptique virtuel surplombant le territoire entier, à travers toute une gamme d’instruments. Parmi eux, le système de « crédit social » (5) évalue en temps réel, sous forme de note, le comportement des citoyens. Selon que les données recueillies sur eux signalent qu’ils sont en train de fumer dans un train ou prennent soin de leurs parents âgés, qu’ils critiquent la police ou relaient la propagande gouvernementale, les individus voient leur note dépréciée ou relevée. Or cette note détermine leur accès à certains droits, comme prendre l’avion, postuler à un emploi, ou encore recevoir des soins médicaux.
Les données qui permettent cette surveillance extensive sont collectées aussi bien par les caméras de vidéosurveillance, qui envahissent le paysage urbain, que par les plateformes numériques des grandes entreprises technologiques (Baidu, Alibaba, Tencent, Xiaomi et d’autres) qui entretiennent des liens étroits avec l’administration centrale et le parti communiste. À tel point que la stratégie chinoise en IA se fonde essentiellement sur le développement d’un complexe « parti-entreprises », ce qui permet à l’armée et à la police d’intégrer plus efficacement les applications technologiques innovantes issues du secteur civil. L’IA, à travers des logiciels de traitement automatisé de textes, d’images, de sons ou de vidéos, permet d’exploiter ces mégadonnées produites par les citoyens dans le cyberespace, de modéliser leur comportement, de prédire leurs réactions et, ainsi, de mieux définir le niveau et la nature du contrôle ou de la répression qu’il convient de leur attribuer.
Le risque de voir l’IA utilisée à des fins de surveillance de masse n’est pourtant pas limité aux États traditionnellement qualifiés d’autoritaires ou de totalitaires. Les démocraties libérales ont aussi compris les bénéfices qu’elles pourraient retirer de tels systèmes, en particulier dans la lutte anticriminelle ou antiterroriste : le Royaume-Uni ou les États-Unis, avec leurs grands groupes technologiques (GAFAM) liés par un ensemble complexe de relations interpersonnelles et de contrats fédéraux avec la communauté du renseignement (en particulier la CIA et la NSA), sont concernés ; mais également la France (6), dont le ministère de l’Intérieur souhaite généraliser l’usage de la reconnaissance faciale, au risque de déprécier pour tous et de façon substantielle le niveau de protection des libertés individuelles et collectives.
Au total, les opportunités formidables qu’offre l’IA en matière de sécurité ne doivent pas nous faire perdre de vue les menaces tout aussi considérables qu’elles font peser sur nos systèmes sociopolitiques. L’équilibre précaire sur lequel repose le rapport entre sécurité et liberté en démocratie doit être maintenu. En cela, l’État de droit est un garde-fou nécessaire qu’il convient de préserver et de renforcer : les soubresauts de la vie démocratique et ses aléas électoraux pourraient nous faire regretter, un jour prochain, notre confiance aveugle en la capacité des avancées technologiques à garantir notre sécurité et, plus largement, à résoudre tous nos problèmes. Comme nous le rappelions au début de ce texte, la technique est intrinsèquement amorale ; le progrès technologique n’équivaut pas au progrès social. Et, avec ou sans progrès technologique, de toute éternité, la sécurité absolue est hors de portée.
******
1 – Charles Thibout, « Intelligence artificielle : quel risque terroriste ? », IRIS, 29.05.2018.
2 – CB Insights, Cybersecurity Funding On Pace For A Record-Breaking Year, 23.08.2017.
3 – Sur l’existence d’ores et déjà de cyberattaques à l’aide de l’IA, les experts en sécurité informatique demeurent divisés.
4 – George Dvorsky, « Hackers Have Already Started to Weaponize Artificial Intelligence », Gizmodo, 09.11.2017.
5 – Alexandra Ma, « China Ranks Citizens with a Creepy ‘Social Credit’ System », Business Insider, 08.04.2018.
6 – Pascal Hérard, « Surveillance : le réseau français “intelligent” d’identification par caméras arrive », TV5 Monde, 09.06.2018.