Y a-t-il des Intelligences Artificielles des 2 côtés du cybercrime ?
Il serait sans doute naïf de penser que si les Humains recourent à l’Intelligence Artificielle pour protéger des cybermenaces (premier danger du 21ème siècle) leurs Etats, leurs entreprises… la réciproque n’existerait pas côté agresseurs ! Même si les cybercriminels n’ignorent pas l’imprévoyance des internautes, ils ne se contentent certainement plus maintenant de vers ou autres mauvaises bactéries informatiques aiguisant l’appétit de nos antivirus préférés !
Sans jugement de valeur (ce n’est pas mon propos ici) sur les tendances naturelles de l’Homme à l’affrontement, au combat, depuis la nuit des temps on a coutume de penser qu’à armes égales, celui-ci reste loyal… A armes égales ! C’est tout le problème. Avec les Intelligences Artificielles auto-apprenantes, ne peut-on s’interroger sur cette nouvelle donne qui va leur permettre (la seule interrogation est « quand » ?) de se lancer d’elles-mêmes sur de nouvelles cibles ? Soit parce que celles-ci se seront mises en travers de leur chemin programme, soit parce que, à tort ou à raison, elles feront figure d’ennemies… Avec cette faculté de court-circuiter l’appréciation humaine, faisant ainsi abstraction de toute possibilité de conscience, de discernement sur la nature réelle de ces cibles, les armes restent-elles égales ?
Les capacités des Intelligences Artificielles à l’auto-apprentissage (deep learning) ne sont pas un mythe, elles sont aujourd’hui avérées dans bien des domaines, à l’exemple de RankBrain utilisé par Google pour distribuer les résultats de recherche de son moteur. Et ce n’est qu’un exemple! Faut-il se réjouir ou se préoccuper de ce qu’il en est en matière de cybercrime (et de cyberdéfense) ?
Un décalage abyssal entre la perception actuelle des cybermenaces et la perspective d’IA cyberattaquantes
Force est de constater que, tandis que les Intelligences Artificielles font entrer le monde dans une nouvelle dimension de cyberguerre, les Humains n’ont pas encore réellement pris la mesure des cybermenaces à l’œuvre !
En effet, bien que le bon sens populaire souligne « qu’un homme averti en vaut deux » ou encore, côté dirigeants que « gouverner c’est prévoir »… bien que des initiatives comme celle du CIGREF veuillent sensibiliser aux risques numériques pesant sur chacun de nous… les cybermenaces restent concrètement sous-estimées.
Pléthore d’études montrent que les entreprises restent fragiles, notamment en termes d’ingénierie sociale (faux mails de type escroqueries au président ou phishing…). Près de la moitié des collaborateurs méconnaissent les comportements de prudence et les bonnes pratiques ne serait-ce que pour la gestion des mots de passe. Pourtant, des études révèlent que le coût moyen d’une cyberattaque pour une entreprise serait proche de 800.000 euros. C’est sans parler du risque pesant sur la confiance client et son prix, qui peut s’inscrire sur le long terme, quand des données personnelles ont été piratées…
L’envergure inflationniste des cyberattaques…
Au-delà de ces risques désormais « classiques », de nouveaux entrants numériques offrent un territoire sans limite à la charge d’Intelligences Artificielles cyberattaquantes…
Le dernier opus du CES de Las Vegas a montré, grandeur nature, que le nombre et les usages des objets connectés sont exponentiels, allant de la caméra de surveillance à la couche de bébé, en passant par l’arrosage des plantes, les drones et le pilotage de la voiture, bien sûr. On comprend que très vite, tout sera connecté !
Dans le même temps, les médias relaient l’existence de plus en plus d’attaques DDoS1 perpétrées à l’aide d’objets connectés (caméras connectées par exemple) pour « faire tomber » des serveurs web et tous les services et usages qui leurs sont liés. Peuvent être ainsi affectés des médias, des entreprises, des services publics, des sites institutionnels et gouvernementaux… et nous tous en tant qu’utilisateur ou client final de ces services.
Ces attaques, de plus en plus nombreuses et puissantes, exploitent des failles de sécurité repérées au sein d’objets et d’équipements connectés. Elles sont menées à l’aide de botnets, autrement dit des robots informatiques eux aussi connectés, permettant l’exécution de tâches qui leur sont assignées. Qui leur sont assignées… pour le moment. Une pincée d’IA auto-apprenante par ci par là, et les botnets tritureront seuls leurs algorithmes !
Les Humains ne doivent-ils pas définir eux-mêmes les passerelles entre l’IA de la science-fiction et celle de la réalité ?
Science-fiction ? Peut-être… Mais doit-on attendre qu’une cyberattaque soit un jour menée en force, par erreur ou non, via des poussettes ou des couches bébé connectées (quand elles le seront toutes) pour anticiper ne serait-ce que « des bornes et des limites » à ce qui peut devenir artificiel et ce qui doit rester humain ?
Les questionnements sur l’éthique liée à l’Intelligence Artificielle ne sont pas absents. A noter : les enjeux de gouvernance au sein des entreprises abordés par le CIGREF par exemple.
Mais ces questionnements ne doivent-ils pas se propager davantage et être mieux entendus pour dépasser la sphère des initiatives de telle ou telle organisation ?
Est-ce qu’il n’est pas grand temps d’asseoir autour d’une même table des chefs d’Etats, des dirigeants, penseurs, chercheurs, inventeurs et instances numériques de tous ordres… « dans une forme de « Conference of the Parties » (COP1…) pour inscrire l’Intelligence Artificielle et ses usages au rang des préoccupations majeures pour l’avenir de l’humanité ? ».
Si je contribue ici sur cette question, c’est que l’activité de veille fait partie intégrante de mon métier (accompagner les dirigeants pour leur communication numérique). Je vois ainsi passer nombre de reflets, signaux forts ou faibles émis par la « société numérisante ». Par déterminisme personnel, la mise en perspective de ces signaux dégage, en avance de phase, une certaine idée de ce qui se dessine. Sans valeur scientifique aucune, il me semble cependant évident qu’il nous appartient à tous de pousser ce débat sur l’éthique liée aux Intelligences Artificielles le plus loin et le haut possible…
Françoise Halper
_____________________
1 Attaque par déni de service (distributed denial of service attack)
