Le cybercrime face à l’IA : enjeux et débuts de solutions

Les intelligences artificielles, toujours plus nombreuses, restent fortement mécomprises. Avec leur multiplication, le risque cybercriminel augmente de manière exponentielle. Les gouvernements du monde entier s’emparent du sujet, comme lors du premier mondial sur la sécurité de l’IA, avec la déclaration commune dite « de Bletchley ». Alors, quels sont les risques, les enjeux ? Les solutions ? Si l’IA est le problème, elle pourrait également participer le solutionner.

IA et attaques cyber

Les enjeux

Les intelligences artificielles sont capables du meilleur comme du pire. Les chercheurs, la Presse et les États les qualifient comme l’une des pires menaces pour nos sociétés. Pourquoi cette défiance ? Qu’est-ce qui rend ces programmes si menaçants ?

Tout d’abord, personne n’est à l’abri. Les acteurs publics comme privés, les individus comme les organisations.

Prenons l’exemple du deepfake. Cette technologie permet de falsifier une vidéo en modifiant les visages et les voix.

Le deepfake est donc la porte ouverte à toutes sortes d’escroqueries à grande échelle. Imaginez un hackeur pouvant prendre le visage d’une célébrité pour envoyer des vidéos personnalisées à ses fans et leur demander de l’argent, des faveurs ou encore des photos osées…

Le X, justement, est un autre danger très sérieux. Un ex jaloux peut tout-à-fait recourir au deepfake pour diffuser de fausses vidéos à caractère pornographique en « collant » un visage sur celui d’un acteur pour adultes. L’horreur !

Et bien évidemment, les politiques ne sont pas épargnés. Manipulation de l’information, chantage, contrefaçon… Il devient facile de faire prononcer un faux discours à un Barack Obama plus vrai que nature, de faire chanter (littéralement) un ministre et tellement, tellement plus. De quoi faire les choux gras de la Presse, causer des émeutes, voire renverser des gouvernements. Et malheureusement non, je ne verse pas dans la dramatisation.

Tout cela est bien plus, à cause d’une seule application de l’IA.

Si vous voulez en savoir plus sur le deepfake, je vous recommande la vidéo ci-dessus par Bloomberg Originals (en anglais sous-titré).

Car en plus du deepfake, il faut compter sur « l’empoisonnement » – une technique d’envoi massif de données servant à fausser des résultats, par exemple électoraux -, les attaques par déni de service qui peuvent rendre inaccessibles des services essentiels… et beaucoup d’autres joyeusetés. 

Les intelligences artificielles amplifient le pouvoir malveillant des malwares, ransomwares, virus et autres armes bien connues des cybercriminels. Tant et si bien qu’on ne compte déjà plus les hôpitaux, les aéroports ou encore les mairies qui en ont fait les frais avec les risques que cela engendre pour les personnels et pour les usagers.

Pistes de solutions

Pour le bien de tous, l’IA doit être conçue, développée, déployée et utilisée de manière sûre, de manière à être centrée sur l’humain, digne de confiance et responsable. […] [L]’IA présente également des risques importants, y compris dans les domaines de la vie quotidienne […] Nous sommes particulièrement préoccupés par ces risques dans des domaines tels que la cybersécurité […] Il existe un potentiel de dommages graves, voire catastrophiques, délibérés ou non, découlant des capacités les plus importantes de ces modèles d’IA.

Extrait de la déclaration de Bletchley (novembre 2023), cosignée par l’Union Européenne et les représentants de 28 gouvernements.

Le 1^er sommet sur l’IA et la cybersécurité, parmi d’autres rencontres internationales, a permis de définir une ligne de défense dont voici les principaux éléments :

• l’identifications des risques et impacts potentiels ;
• le développement d’outils d’évaluation de la sécurité adaptés (y compris des IA pouvant protéger de leurs pairs) ;
• la rédaction de guidelines pour les développeurs et fournisseurs d’intelligences artificielles avant toute mise sur le marché d’un produit ;
• l’émission de recommandations générales telles que la surveillance des systèmes d’IA contre les abus, la protection des données contre la falsification et le contrôle des fournisseurs de logiciels ;
• une transparence accrue des fournisseurs d’IA sur leurs programmes ;
• la tenue d’une liste noire d’IA à bannir (a minima proscrire leur utilisation de certains cadres sensibles) ;
• la définition d’un cadre légal international commun, tenant compte des spécificités de chaque pays ;
• la promulgation de lois définissant les peines associées à ces menaces nouvelles ;
• la mise en commun de ressources internationales.

Évidemment, chacun des points ci-avant est beaucoup plus complexe que cette courte description. Les États et organisations continuent de travailler sur ces sujets et organisent désormais des rencontres régulières pour tenir leur agenda. Un agenda qui s’annonce très serré.

Dans l’intervalle, la vigilance individuelle et les suites de sécurité restent nos meilleures armes contre la cybercriminalité.