loader image

L’intelligence artificielle (IA) est véritablement une prouesse révolutionnaire de l’informatique, appelée à devenir une composante essentielle de tous les logiciels modernes au cours des années et décennies à venir. Cela représente une menace, mais aussi une opportunité. L’IA sera déployée pour renforcer les cyberopérations défensives et offensives. En outre, de nouveaux moyens de cyberattaque seront inventés pour tirer parti des faiblesses particulières de la technologie de l’IA. Enfin, l’importance des données sera amplifiée par l’appétit de l’IA pour de grandes quantités de données d’entraînement, ce qui redéfinira la façon dont nous devons penser à la protection des données. Une gouvernance prudente au niveau mondial sera essentielle pour faire en sorte que cette technologie qui définira une nouvelle ère apporte une sécurité et une prospérité largement partagées.

L’IA et le Big Data

En termes généraux, l’IA désigne les outils informatiques capables de remplacer l’intelligence humaine dans l’exécution de certaines tâches. Cette technologie progresse actuellement à un rythme effréné, à l’image de la croissance exponentielle qu’a connue la technologie des bases de données à la fin du XXe siècle. Les bases de données sont devenues l’infrastructure de base des logiciels d’entreprise. De même, la majeure partie de la nouvelle valeur ajoutée des logiciels au cours des prochaines décennies devrait être alimentée, du moins en partie, par l’IA.

Au cours de la dernière décennie, les bases de données ont considérablement évolué afin de gérer le nouveau phénomène appelé “big data”. Il s’agit de la taille sans précédent et de l’échelle mondiale des ensembles de données modernes, en grande partie recueillis par les systèmes informatiques qui sont devenus les médiateurs de presque tous les aspects de la vie quotidienne. Par exemple, YouTube reçoit plus de 400 heures de contenu vidéo chaque minute.

Le big data et l’IA entretiennent une relation particulière. Les récentes percées dans le développement de l’IA proviennent principalement de l'”apprentissage automatique”. Au lieu de dicter un ensemble statique de directives à suivre par une IA, cette technique forme l’IA en utilisant de grands ensembles de données. Par exemple, les chatbots d’IA peuvent être entraînés sur des ensembles de données contenant des enregistrements de textes de conversations humaines collectés à partir d’applications de messagerie pour apprendre à comprendre ce que les humains disent et à proposer des réponses appropriées (Pandey 2018). On pourrait dire que le big data est la matière première qui alimente les algorithmes et les modèles d’IA.

La principale contrainte à l’innovation n’est plus la difficulté d’enregistrer et de stocker des informations, mais la découverte d’idées utiles parmi l’abondance même des données désormais collectées. L’IA est capable de repérer des modèles dans des ensembles de données gigantesques qui dépassent la capacité de détection de la perception humaine. Ainsi, l’adoption de la technologie de l’IA peut rendre précieuses même des données banales et apparemment sans intérêt. Par exemple, des chercheurs ont entraîné des modèles informatiques à identifier les traits de personnalité d’une personne avec plus de précision que ses amis, en se basant exclusivement sur les publications Facebook que cette personne avait aimées.

L’IA et la cyber-sécurité

Il ne se passe pas un jour sans que l’on entende parler d’une violation de données très médiatisée ou d’une cyberattaque dont les dommages se chiffrent en millions de dollars. Les cyberpertes sont difficiles à estimer, mais le Fonds monétaire international les situe entre 100 et 250 milliards de dollars US par an pour le secteur financier mondial. En outre, avec l’omniprésence croissante des ordinateurs, des appareils mobiles, des serveurs et des dispositifs intelligents, l’exposition globale aux menaces augmente chaque jour. Alors que les entreprises et les politiques peinent encore à comprendre l’importance nouvelle du cyberespace, l’application de l’IA à la cybersécurité annonce des changements encore plus importants.

L’un des objectifs essentiels de l’IA est d’automatiser des tâches qui auraient auparavant nécessité une intelligence humaine. La réduction des ressources en main-d’œuvre qu’une organisation doit employer pour mener à bien un projet, ou du temps qu’une personne doit consacrer à des tâches de routine, permet de réaliser des gains d’efficacité considérables. Par exemple, les chatbots peuvent être utilisés pour répondre aux questions du service clientèle, et l’IA des assistants médicaux peut être utilisée pour diagnostiquer des maladies sur la base des symptômes des patients.

Dans un modèle simplifié de la façon dont l’IA pourrait être appliquée à la cyberdéfense, les lignes de journal de l’activité enregistrée des serveurs et des composants du réseau peuvent être étiquetées comme “hostiles” ou “non hostiles”, et un système d’IA peut être formé en utilisant cet ensemble de données pour classer les observations futures dans l’une de ces deux classes. Le système peut alors agir comme une sentinelle automatisée, distinguant les observations inhabituelles du vaste bruit de fond de l’activité normale.

Ce type de cyberdéfense automatisée est nécessaire pour faire face au niveau écrasant d’activité qui doit désormais être surveillé. Nous avons dépassé le niveau de complexité auquel la défense et l’identification des acteurs hostiles peuvent être réalisées sans l’utilisation de l’IA. À l’avenir, seuls les systèmes qui appliquent l’IA à cette tâche seront en mesure de faire face à la complexité et à la rapidité de l’environnement de la cybersécurité.

Le recyclage continu de ces modèles d’IA est essentiel, car si l’IA est utilisée pour prévenir les attaques, les acteurs hostiles de tous types utilisent également l’IA pour reconnaître les modèles et identifier les points faibles de leurs cibles potentielles. L’état des lieux est un champ de bataille où chaque partie sonde continuellement l’autre et conçoit de nouvelles défenses ou de nouvelles formes d’attaque, et ce champ de bataille évolue de minute en minute.

L’arme la plus efficace de l’arsenal des pirates est sans doute le “spear phishing”, qui consiste à utiliser les informations personnelles recueillies sur une cible pour lui envoyer un message personnalisé. Un courriel semblant avoir été écrit par un ami, ou un lien lié aux loisirs de la cible, a de grandes chances d’échapper aux soupçons. Cette méthode demande actuellement beaucoup de travail, car le pirate en herbe doit effectuer manuellement des recherches détaillées sur chacune de ses cibles. Cependant, une IA similaire aux chatbots pourrait être utilisée pour construire automatiquement des messages personnalisés pour un grand nombre de personnes en utilisant les données obtenues à partir de leur historique de navigation, de leurs courriels et de leurs tweets ). De cette façon, un acteur hostile pourrait utiliser l’IA pour augmenter considérablement ses opérations offensives.

L’IA peut également être utilisée pour automatiser la recherche de failles de sécurité dans les logiciels, comme les “vulnérabilités du jour zéro.” Cela peut être fait dans un but légal ou criminel. Les concepteurs de logiciels pourraient utiliser l’IA pour tester les failles de sécurité de leurs produits, tout comme les criminels recherchent des exploits non découverts dans les systèmes d’exploitation.

L’IA va non seulement renforcer les stratégies existantes d’attaque et de défense, mais aussi ouvrir de nouveaux fronts dans la lutte pour la cybersécurité, les acteurs malveillants cherchant à exploiter les faiblesses particulières de la technologie. L’“empoisonnement des données” est un nouveau moyen d’attaque que les acteurs hostiles peuvent utiliser. Puisque l’IA utilise des données pour apprendre, les acteurs hostiles pourraient altérer l’ensemble des données utilisées pour former l’IA afin de la faire agir à leur guise. Les “exemples contradictoires” pourraient constituer une autre nouvelle forme d’attaque. Par analogie avec les illusions d’optique, les exemples contradictoires consistent à modifier les données d’entrée d’une IA d’une manière qui serait probablement indétectable pour un humain, mais qui est calculée pour amener l’IA à mal classer les données d’entrée d’une certaine manière. Dans un scénario largement spéculé, un panneau d’arrêt pourrait être subtilement modifié pour que le système d’IA contrôlant une voiture autonome l’identifie de manière erronée comme un panneau d’interdiction, avec des résultats potentiellement mortels.

La nouvelle valeur des données

La technologie de l’IA va modifier l’environnement de la cybersécurité d’une autre manière encore, car sa soif de données modifie le type d’information qui constitue un actif utile, transformant des masses d’informations qui n’auraient pas présenté d’intérêt auparavant en cibles tentantes pour des acteurs hostiles.

Si certaines cyberattaques ont pour seul but de disrupter, d’infliger des dommages ou de faire des ravages, beaucoup visent à s’emparer d’actifs stratégiques tels que la propriété intellectuelle. De plus en plus, les agresseurs dans le cyberespace jouent un jeu à long terme, cherchant à acquérir des données à des fins encore inconnues. La capacité des systèmes d’IA à utiliser des données, même inoffensives, donne lieu à la tactique du “data hoovering”, qui consiste à récolter toutes les informations possibles et à les stocker en vue d’un usage stratégique futur, même si cet usage n’est pas encore bien défini.

Un récent rapport du New York Times illustre un exemple de cette stratégie en action. Le rapport indique que le gouvernement chinois a été impliqué dans le vol des données personnelles de plus de 500 millions de clients de la chaîne hôtelière Marriott. Bien qu’habituellement la principale préoccupation concernant les violations de données soit l’utilisation abusive potentielle d’informations financières, dans ce cas, les informations pourraient être utilisées pour traquer des espions présumés en examinant leurs habitudes de voyage, ou pour suivre et détenir des individus afin de les utiliser comme monnaie d’échange dans d’autres affaires.

Les données et l’IA connectent, unifient et débloquent les actifs tangibles et intangibles ; il ne faut pas les considérer comme distinctes. La quantité de données devient un facteur clé de succès dans les affaires, la sécurité nationale et même, comme le montre le scandale Cambridge Analytica, la politique. L’incident du Marriott montre que des informations relativement ordinaires peuvent désormais constituer un atout stratégique dans les domaines du renseignement et de la défense nationale, l’IA pouvant tirer des enseignements utiles de sources d’information apparemment disparates. Par conséquent, ce type de données en vrac deviendra probablement une cible plus courante pour les acteurs opérant dans ce domaine.

Implications pour la politique et la gouvernance

Ces évolutions obligeront à repenser les stratégies de cybersécurité actuelles. Dans un système de plus en plus interconnecté, l’identification du maillon le plus faible devient plus difficile, mais aussi plus essentielle. À mesure que les capteurs, les machines et les personnes deviennent des fournisseurs de données entrelacés pour des systèmes d’IA précieux, les points d’entrée des cyberattaques vont se multiplier. La cybersécurité nécessite une stratégie globale visant à minimiser les maillons faibles ; une approche fragmentaire de la cyberpolitique ne fonctionnera pas. Étant donné que les données d’entraînement qui alimentent les technologies d’IA les plus importantes et les plus révolutionnaires ont une portée mondiale et sont recueillies dans de nombreux pays différents, il est clair que la gouvernance au niveau national ne suffira pas.

Les décideurs politiques mondiaux ont commencé à s’intéresser aux ramifications de la généralisation de la technologie de l’IA, et à son effet sur la cybersécurité en particulier. Le Groupe des Sept (G7) a porté son attention sur la gouvernance de l’IA lors du sommet de 2018 dans Charlevoix, au Québec, en s’engageant à ” promouvoir une IA centrée sur l’humain ” par des investissements appropriés dans la cybersécurité, tout en faisant attention à la protection de la vie privée et des informations personnelles concernant les données qui servent d’entrée brute pour l’apprentissage automatique.

L’application de la technologie de l’IA à des stratégies de cyberattaques préexistantes, telles que le spear phishing, permettra à la fois d’augmenter leur efficacité et, en contournant les contraintes de travail, d’élargir le nombre d’acteurs capables de les entreprendre. Cela confère une plus grande urgence aux efforts actuels visant à créer une gouvernance mondiale efficace dans le cyberespace et une protection internationale des données, comme la tentative du groupe d’experts gouvernementaux des Nations unies d’établir des normes de conduite acceptées.

Bien qu’elle soit généralement considérée comme une menace pour la vie privée, l’IA peut également contribuer à la préserver et à exercer un contrôle sur les données exclusives et les actifs qui en découlent.