Nazar Nosenko
Étudiant en information et communication à l’Université Paris-Panthéon-Assas
Les cybermenaces se sont répandues depuis le début des années 2000 et des mesures ont été prises à leur encontre tel que le Mémorandum de Budapest de 2001, destiné à assurer une protection contre les pirates informatiques et désormais signé par presque 70 états.[1]
Mais ces nouveaux développements technologies apportent avec eux de nouveaux défis. Les statistiques montrent que le taux de cybercriminalité a doublé globalement durant les 10 dernières années, et la plupart de ces crimes étaient causés par IA et peuvent causer des dommages réputationnels importants aux sociétés victimes de leurs actes. Ce problème est exacerbé par la croissance de l’IA générative qui pourrait créer à son tour des nouvelles menaces cybernétiques.
Cependant, les gouvernements et les entreprises ne disposent toujours pas des outils nécessaires pour faire face à ce problème. Lors de l’Assemblée générale des Nations unies de décembre 2023, 95 % des États membres de l’ONU ont clairement manifesté leur intérêt pour la réforme des lois sur la cybercriminalité, ce qui soulève en fin de compte des questions telles que la réglementation de l’IA pour les problèmes actuels et futurs.
Cela présente une nouvelle opportunité de croissance dans le domaine de la réglementation de l’IA. Dans cet article, nous examinerons l’origine et la définition des cybermenaces (I) afin de soulever la question de l’identité des auteurs et des cibles (II) et de mieux cerner le problème actuel. Cela nous conduira aux solutions proposées par différents États et institutions (III).
- L’aube d’une nouvelle ère de menaces cybernétiques IA
« Mes pires craintes sont que nous… l’industrie technologique, causons un préjudice significatif au monde. Je pense que si cette technologie tourne mal, elle peut tourner très mal. » [2]
– Le PDG d’Open AI, Sam Altman, déclaré au Comité judiciaire du Sénat.
Au début des années 2000, les cybermenaces prenaient des formes traditionnelles telles que des messages SMS qui demandaient de confirmer des informations sensibles (le numéro d’un compte bancaire) ou encore des courriels qui mentionnaient le suivant : « cliquez sur ce lien pour gagner $ 5000 », ce qui résultait généralement en l’installation d’un virus informatique. Cependant, le défi que représente la lutte contre les cybermenaces est aujourd’hui exacerbé par le fait que les moyens de défense technologique ne sont pas à la hauteur des nouvelles méthodes de piratage, et statistiquement, les cybermenaces affectent les organisations du monde entier ; 37 % des organisations dans le monde ont été confrontées à une fraude basée sur l’IA, et 91 % des entreprises américaines ont identifié ces menaces comme une préoccupation croissante.[3]
Cette croissance peut s’expliquer par deux manières dans lesquelles l’IA est utilisée pour causer des menaces cybernétiques :
Premièrement, l’IA améliore les techniques traditionnellement utilisées pour causer des cybermenaces. Compte tenu du volume de données que l’IA peut traiter, il serait facile pour une IA d’envoyer 10 000 messages personnalisés à différentes personnes. Les méthodes de cette catégorie comprennent deux techniques principales : le phishing, qui consiste à envoyer des messages frauduleux semblant provenir d’une source légitime dans le but d’extraire ou de voler des informations à la victime,[4] et le spoofing, qui consiste pour un « cybercriminel à se faire passer pour une entité de confiance afin de vous amener à faire quelque chose d’avantageux pour le pirate ».[5] Selon le rapport de janvier 2024 du National British Cyber Security Centre, il est presque certain que ces attaques vont se multiplier.
Deuxièmement, l’IA pourrait créer de nouvelles cybermenaces grâce à ses avancées technologiques. Les grands modules de langage (LLMs) en particulier sont capables d’exploiter des données considérables afin de générer des interactions à consonance humaine. Par conséquent, les technologies pilotées par l’IA ont la capacité de cloner des modèles vocaux, de fabriquer des fichiers audios et de créer de fausses images et vidéos. L’un des premiers cas de fraude par IA a été signalé en 2019, lorsque des fraudeurs ont utilisé un extrait vocal généré par IA du président directeur général (PDG) d’une société mère pour instruire le PDG de sa filiale britannique de transférer 220 000 € à un fournisseur hongrois fictif.[6] Un autre exemple est un cas de fraude dans lequel des pirates informatiques ont volé $ 25 millions en 2023 d’une entreprise multinationale. En utilisant une vidéo deepfake, ces pirates ont berné un employé d’une de ses filiales à Hong Kong qui observait une version numériquement recréer du directeur financier de l’entreprise dans un appel vidéo, l’instruisant de transférer des fonds sur un compte déterminé.[7] Les criminels n’ont toujours pas été trouvés en raison des capacités techniques du cryptage des données à l’encontre des autorités de service public. [8] Maintenant que nous avons défini les cybermenaces, il est important de comprendre leurs implications sur les entreprises et la criminalité financière.
- Sous les menaces de IA : quel auteur et quelle victime ?
Il est important de distinguer les différents acteurs en jeu afin de mieux comprendre l’ampleur des cybermenaces et l’importance de trouver des solutions appropriées. Les victimes peuvent être divisées en deux catégories : les individus d’une part et les entreprises/états d’autre part. Ceci est dû au fait que ces cibles nécessitent différentes compétences pour être piratées.
Par exemple, les pirates informatiques débutant ont moins d’outils nécessaires et moins d’expérience en piratage et donc mènent des attaques de phishing ou d’installer de virus sur l’ordinateur de la victime pour obtenir des identifiants de connexion et des données. Un exemple récent inclut la course à l’élection présidentielle américaine de 2024, où la voix du candidat présidentiel Joe Biden a été utilisée pour faire environ 25 000 appels frauduleux en utilisant une voie similaire générée par IA.[9] Cela illustre notre point précédent, à savoir que l’IA amplifie les cybermenaces existantes et qu’elle est désormais contextualisée par des pirates informatiques opportunistes.[10]
Cependant, les opérations des pirates informatiques professionnels se déroulent à une plus grande échelle. Cela implique des techniques avancées, telles que le cryptage (verrouillage) de données gouvernementales et la demande de rançon, ou la génération de logiciels malveillants (malwares) de manière efficace et sans détection. Ces attaques visent généralement les grandes entreprises et les agences gouvernementales qui peuvent intégrer l’IA dans leurs services de données, y compris les ventes et l’assistance à la clientèle.[11] Cela nous amène à nous examiner la dualité de l’utilisation de l’IA :
L’IA peut être considérée comme une épée à double tranchant en cybersécurité.[12] D’une part, elle renforce les défenses des entreprises et des États, les encourageant à stocker plus de données dans leurs systèmes. Cela, à son tour, pourrait rendre la tâche plus rémunératrice pour les pirates informatiques, qui utiliseraient l’IA pour développer des attaques sophistiquées et difficiles à détecter. Plus concrètement, une des méthodes utilisées consiste à générer un système IA qui amènerait un autre système IA à donner une mauvaise réponse à une question donnée. Cela nous amène à la question de « l’IA adversaire », où un système IA (le professeur) est programmé pour amener l’autre système IA (l’élève) à donner des « mauvaises réponses », cédant éventuellement des données aux pirates informatiques.[13] Prenons par exemple DeepLocker d’IBM, qui démontre le potentiel de l’IA pour créer des malwares qui échappent à la détection traditionnelle en s’activant sous certaines conditions.[14] Cette dualité souligne le besoin d’une régulation équilibrée de l’IA pour en profiter davantage tout en atténuant les risques, car l’IA peut devenir un outil puissant dans les mains des attaquants. Cela nécessitera des solutions non seulement techniques, mais aussi juridiques, éthiques et stratégiques à l’échelle globale.
- Perspectives diverses : méthodes de régulation de l’IA en cybersécurité
Il n’y a pas de mode d’emploi orthodoxe pour réguler l’IA, étant donné l’évolution constante de l’IA. Cependant, il existe des tendances généralement selon lesquelles les gouvernements essaient d’équilibrer l’innovation et la gestion des risques.
Les réglementations en matière d’IA peuvent se baser, par exemple, sur des stratégies nationales et des lignes directrices éthiques convenues. En effet, les documents politiques sont facilement modifiables et permettent une approche flexible pour suivre les évolutions rapides du secteur. Le rapport gouvernemental du ministère britannique des sciences publié en mars 2023 en est un exemple : il introduit un cadre non statutaire qui établit des attentes de réglementation d’IA et donne des pouvoirs aux régulateurs de différents secteurs, tels que l’Autorité de conduite financière britannique (FCA).[15]
D’autres juridictions sont soumises à des pressions accrues, comme aux États-Unis suite à l’exemple des élections mentionné précédemment. Cela les contraint à réagir rapidement et à contenir le problème. Le 8 février 2024, la Commission fédérale des communications (FCC) des États-Unis a déclaré que les voix générées par l’IA étaient ‘artificielles’ et constituaient donc une violation de la loi sur la protection des consommateurs par téléphone de 1991 (TCPA).[16] Pour anticiper ces défis, plusieurs États américains, dont le Michigan, la Californie, Washington, le Minnesota et le Texas, ont adopté des lois visant à limiter l’utilisation abusive des technologies d’IA pendant les périodes électorales. Ces lois visent principalement à restreindre la création et la distribution de contenus deepfake pouvant influencer les résultats des élections en propageant des rumeurs sur les réseaux sociaux et en créant de fausses images pour nuire à la réputation des candidats et manipuler l’opinion publique. En outre, des efforts sont en cours dans 26 autres États américains pour introduire des réglementations similaires, ce qui témoigne d’un engagement national à traiter les implications éthiques de l’IA dans l’arène politique et à protéger l’intégrité des élections.
À l’avenir, les cybermenaces continueront à prendre de l’ampleur à l’échelle internationale. Alors que les pays progressent dans leurs cadres et leurs approches, ils redoublent également leurs efforts pour collaborer entre eux et avec d’autres institutions privées afin de coordonner et d’harmoniser les différentes approches.
La directive NIS2 de l’Union européenne et les réflexions de la Commission nationale de sécurité sur l’intelligence artificielle (NSCAI), dirigée par l’ancien PDG de Google, Eric Schmidt, sont des exemples de collaboration interétatique qui se sont avérés être d’importantes protections juridiques.[17] Si ces initiatives posent les bases d’une réglementation de l’IA, elles soulignent également la nécessité d’une approche large qui englobe les droits et libertés civiles à l’ère numérique et vise à protéger les individus contre les menaces liées à l’IA dans tous les domaines de la société.
D’autre part, la collaboration avec les entreprises et les organisations privées sera également cruciale : en effet, ce sont des entreprises telles que OpenAI qui développent l’IA et qui possèdent une expertise technologie plus étendue que la plupart des gouvernements, ce qui fait de la collaboration directe avec elles dans ce domaine un aspect fondamental du fonctionnement futur de la réglementation en matière d’IA. Sans un engagement direct avec les entreprises, les régulateurs courent le risque de faire de freiner les progrès dans ce domaine technologique – un autre aspect de l’utilisation à double tranchant de l’IA). Par conséquent, des entreprises telles que Google, Meta, Microsoft, OpenAI et TikTok ont toutes signalé qu’elles prenaient des « précautions raisonnables » afin d’empêcher que les outils d’intelligence artificielle ne soient utilisés pour perturber les élections démocratiques dans le monde entier.[18]
En conclusion, le paysage de la cybersécurité a considérablement évolué, les cybermenaces étant devenues plus omniprésentes et plus sophistiquées depuis le début des années 2000. L’utilisation de l’IA offre aux pirates informatiques amateurs une opportunité d’augmenter la fréquence de leurs attaques et aux pirates plus expérimentés de concevoir de nouvelles techniques, ce qui oblige les organisations à s’adapter. En réponse, plusieurs niveaux de protection doivent être mises en place ; parmi elles seront des lois nationales, des projets de coopération internationale, et même des initiatives de protection organisées avec des sociétés afin de mieux traiter le problème. Alors que ces efforts prennent de l’ampleur, l’anticipation de la croissance du marché de la cybersécurité est soulignée par son expansion prévue à 500 milliards de dollars d’ici 2029. Avec la croissance imminente de la cyber défense, il sera crucial de considérer ses implications plus larges telles que la conformité réglementaire, la protection des données et la répartition appropriée de responsabilités.
[1] European treaty series- No. 185 Convention on Cybercrime, Budapest 23.XI.2001
[2] Luke Hurst, ‘OpenAI’s Sam Altman calls for regulation amid fears AI could cause ‘significant harm to the world’ (euronews.next, 17 May 2023)
[3] ‘One-Third of Global Businesses Already Hit by Voice and Video Deepfake Fraud’ (Regula Forensics press release, 27 April 2023)
[4] ‘What is phishing’ (Cisco, 2023)
[5] What is Spoofing- Definition and Explanation’ (Kaspersky, 2023)
[6] Jesse Damiani, ‘A voice deepfake was used to scam a CEO out of $243,000’ (Forbes Consumer Tech, 3 September 2019)
[7] Drew Todd, ‘Hong Kong Clerk Defrauded of $25 Million in Sophisticated Deepfake Scam’ (Secure World, 13 February 2024)
[8] Laura Dobberstein, ‘Deepfake CFO tricks Hong Kong biz out of $25 million’ The Register (5 February 2024)
[9] Pranshu Verma, ‘Democratic operative admits to commissioning Biden AI robocall in New Hampshire’ The Washington Post(26 February 2024)
[10] James Pearson, ‘AI rise will lead to increase in cyberattacks, GCHQ warns’ (Reuters Cybersecurity, 24 January 2024)
[11] Ibid
[12] Tamer Charife, Michael Mossad, ‘AI in cybersecurity: A double-edged sword’ (Deloitte Insights, Fall 2023)
[13] ‘Artificial Intelligence: Adversatial Machine Learning’ (National Cybersecurity Center of Excellence)
[14] Msrc Ph. Stoecklin et al, Deeplocker. How AI can power a stealthy new breed of malware’ (Security Intelligence, 8 August 2018)
[15] Mark A. Prinsley et al, ‘The UK’s approach to regulating the use of AI’ (Mayer Brown, 7 July 2023)
[16] Shannon Bond, ‘The FCC says AI voices in robocalls are illegal’ (National Public Radio, 8 February 2024)
[17] ‘Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive)’ (European Commission Policies)
[18] Guardian staff and agencies, ‘Tech firms sign ‘reasonable precautions’ to stop AI-generated election chaos’ The Guardian AI (16 February 2024)