Quel est l’impact des IA en matière de cybercriminalité, de cybersécurité et d’infractions involontaires ?
Les potentialités des sciences, technologies et techniques de traitement des données qualifiées d’intelligence artificielle (IA) ouvrent des perspectives redoutées et redoutables en matière de cybercriminalité. Attaques automatisées, coordonnées, recherches automatiques de failles, l’IA constitue un véritable arsenal de guerre numérique, avec des bénéfices qui n’ont rien de virtuel pour leurs auteurs.
Mais l’on parle moins souvent des potentialités de l’IA pour lutter plus efficacement contre les menaces existantes et à venir : combinée à des analystes humains, l’IA est en mesure d’aider à déjouer, voire à anticiper, des attaques contre les systèmes et de protéger leurs utilisateurs.
D’une manière générale, l’élément moral des infractions volontaires dans le cyberespace n’est pas complexe à appréhender juridiquement (la recherche et l’exploitation d’éléments matériels le sont certainement plus). La question de la responsabilité est en revanche beaucoup plus épineuse s’agissant de faits relevant du champ des infractions involontaires : quel responsabilité rechercher lorsqu’au Japon un bras robot écrase un ouvrier sur son passage ou une voiture autonome renverse un piéton aux Etats-Unis ? … les exemples ne manquent pas et risquent se multiplier dans un proche avenir. Les instruments juridiques actuels paraissent-ils satisfaisants pour appréhender le phénomène ou conviendrait-il, au contraire, de concevoir de nouvelles législations spécifiques ?
L’IA au service de la sécurité des systèmes d’information
Avec la disponibilité d’un nombre croissant de données numériques, une quantité considérable d’informations personnelles et financières ont été exposées à de potentielles exploitations frauduleuses[1]. Qu’il s’agisse des formes classiques de criminalité sur internet (escroqueries par exemple) ou de nouvelles formes (intrusion dans des systèmes d’information), ces infractions ont conduit à des pertes économiques considérables. Selon une étude d’Accenture en 2017, le coût moyen d’une atteinte à la vie privée a été chiffré à 11,7 millions de dollars, soit une hausse de 23 % par rapport à l’année précédente. Ce constat est à enrichir d’un autre dressé cette fois-ci par IBM en 2014 : 95% de la cybercriminalité résulte d’une erreur humaine. Malgré les technologies de sécurité avancées disponibles aujourd’hui, la plupart des pirates continuent de cibler les vulnérabilités du comportement humain, et pas seulement celles, techniques, des systèmes et des réseaux.
L’IA constitue donc une opportunité pour mieux gérer les risques, non pas de manière totalement autonome, mais en appui à des compétences, bien humaines, en cybersécurité. Le laboratoire d’informatique et d’intelligence artificielle du MIT a ainsi mis au point une « plate-forme de cybersécurité adaptative » dénommée AI² qui améliore ses performances dans le temps par la combinaison d’apprentissage machine (machine learning) et des apports d’analystes en sécurité[2]. Concrètement, AI² bâtit des modèles comportementaux significatifs d’attaques et tente ensuite de les prédire en détectant des activités suspectes. Il présente ensuite ces activité à des analystes humains qui confirment quels événements sont des attaques réelles, et intègre cette rétroaction dans ses modèles pour les ensembles suivants de données.
Une autre potentialité de l’IA est la possibilité de faciliter les investigations et l’identification des cybercriminels. Dudu Mimran, directeur des technologies (CTO) du Telekom Innovation Laboratories en Israël, relevait dans un discours devant l’OCDE que l’amélioration des méthodes d’investigation et d’identification « souffre de sous-investissements parce qu’elle manque de viabilité commerciale »[3]. Cette difficulté, bien connue des spécialistes, s’explique au vu du nombre extrêmement important de variables à étudier, dont les fragments de code malveillants et la recherche d’éventuelles références identifiant des cybercriminels (références culturelles ou politiques par exemple). Cet expert suggère d’augmenter substantiellement le financement de la recherche en IA, dans le but de développer des systèmes « intelligents » parvenant à une meilleure identification d’auteurs d’infractions par corrélation des différentes traces, tout en ne perdant pas de vue la potentielle confidentialité des données traitées. De même, il ne réduit pas cette lutte à une démarche purement technique et il encourage à la mise en place d’un réseau mondial de renseignement, bien humain, en capacité de suivre les menaces, en réunissant des chercheurs, le monde des affaires et les autorités gouvernementales.
L’IA et l’automatisation de la cybercriminalité
La Convention sur la cybercriminalité du Conseil de l’Europe (« Convention de Budapest ») distingue deux grandes catégories de faits : les atteintes à des systèmes de traitement automatisé de données et les infractions de droit commun facilitées par un environnement numérique[4].
S’agissant de la première catégorie, l’IA est en capacité de renforcer l’automatisation de modes d’attaques directes de systèmes d’information (« scan » pour identifier et exploiter les vulnérabilités techniques) ou indirecte en volant auprès d’opérateurs humains les informations nécessaires pour accéder à un système (enregistrement de données à l’insu de l’utilisateur ou ingénierie sociale telle que le « fishing »). L’objectif de telles attaques, communément appelées « piratage informatique », est souvent de dérober des données sensibles (identifiants de cartes de paiement par exemple) ou de bloquer purement et simplement le fonctionnement d’un système (déni de service).
Depuis quelques années ce dernier type d’attaque est utilisé pour des fins de chantage et illustre bien une seconde catégorie de cybercriminalité telle que définie par la Convention de Budapest : des faits de droit commun, facilités par les technologies numériques. Là encore, l’IA peut servir à automatiser des tentatives d’escroqueries, de fraudes, mais également produire des contre-mesures pour protéger le stockage et la distribution de matériel illégal, comme la pornographie juvénile et des contenus violant les droits d’auteur. D’autres types d’infractions seraient aussi à considérer, comme les manipulations boursières ou les modifications volontaires de comportement d’IA par d’autres IA à des fins criminelles ou délictuelles (les ingénieurs ne sont pas capables de déchiffrer complètement le code produit par les technologies d’apprentissage profond – deep learning… la prévention de leur manipulation devra passer par différentes méthodes pour s’assurer de l’intégrité de fonctionnement).
Pavel Gladyshev, professeur à l’University College Dublin, donne un dernier de criminalité facilité par l’IA dans un de ses articles récents[5] : l’application Deepfake altère les photographies et les vidéos numériques en remplaçant automatiquement le visage d’une personne par un autre. Bien qu’elle ait été créée à l’origine pour le divertissement d’adultes, la technologie a clairement le potentiel de produire de fausses vidéos montrant, par exemple, des politiciens assister à des réunions inexistantes ou s’engageant dans des activités qui pourraient nuire à leur réputation.
Le régime de responsabilité des infractions commises avec ou par des IA
Il est encore périlleux de tenter d’élaborer des règles de droit alors que nous sommes encore dans une phase de transition technologique, dont on suppose l’avenir sans réellement le connaître. Les réflexions sur la définition d’un régime de responsabilité quand des IA sont en jeux peuvent toutefois commencer s’appuyer ce que sont clairement ces systèmes : ce sont des modèles mathématiques créés par des humains pour exécuter des tâches complexes et qui se trouvent assignés lors de leur conception une fonction précise.
La question d’une prétendue « volonté » autonome d’une IA (et des robots fonctionnant sur la base d’IA) est immédiatement à écarter s’agissant d’infractions volontaires commises ou commanditées par des humains. Il faudra se garder de tout anthropomorphisme et il ne sera pas question de rechercher une conscience et un élément intentionnel dans une agrégation de systèmes ou un algorithme : il conviendra de revenir systématiquement à l’agent humain qui a utilisé ou assemblé ces systèmes avec l’intention de commettre une infraction. En d’autres termes, la question n’est pas différentes d’autres outils utilisés à des fins infractionnelles et ces systèmes, mêmes s’ils renvoient à un imaginaire de science-fiction, n’édulcorent en rien la responsabilité directe d’un agent humain[6]. Une IA utilisée pour attaquer en « force brute » un serveur ou détecter ses failles techniques n’est guère différente du marteau piqueur utilisé pour attaquer le coffre-fort d’une banque : nul n’aura à l’esprit de rechercher la responsabilité de l’outil de chantier ou de son fabricant.
Une certaine confusion semble toutefois exister pour les systèmes ayant commis des dommages relevant du champ des infractions involontaires. Le décès causé en mars 2018 par une voiture autonome exploitée par Uber en Arizona a marqué les esprits et a illustré que les difficultés ne proviennent de l’absence d’un cadre juridique adapté, mais, encore une fois, d’une incompréhension de ce que sont réellement les IA aujourd’hui. Les premières investigations semblent démontrer qu’un réglage « trop souple » pour éviter des freinages intempestifs a contribué à la survenance de l’accident, en plus d’une possible inaction d’un agent de contrôle humain. Le régime des infractions involontaires est à même d’appréhender ce type de situation avec une certaine acuité : les réglages opérés sur le freinage constituent-ils un manquement à une obligation de prudence ou de sécurité ? L’agent de contrôle humain, à bord du véhicule, était-il concentré sur sa tâche ? Dans ce cas, même si le contexte est nouveau, il n’y a rien que les juristes ou des juges ne sauraient traiter avec les instruments existants.
En revanche, la recherche de responsabilité risque de se complexifier quand différentes technologies sont agrégées (robotique, IA, big data, blockchain par exemple) et/ou si la machine a procédé à une phase autonome d’apprentissage (comme l’apprentissage profond ou deep learning) : une certaine dilution du rôle des différents acteurs sera à craindre au détriment de la victime du dommage. En matière civile la définition d’une personnalité juridique spécifique est soutenue par le Parlement européen[7] mais se trouve critiquée car elle alimenterait la confusion sur la nature réelle des IA et ne représenterait au final un intérêt que pour les fabricants eux-mêmes (qui pourraient plus aisément dégager leur responsabilité en s’appuyant sur des mécanismes d’indemnisation [8]). En matière pénale, une telle construction juridique fictive pourrait aussi présenter un intérêt s’agissant de dommages involontaires ou inattendus présentant un certain degré de gravité mais, là encore, il ne s’agit pas de déresponsabiliser les concepteurs, bien humains, sur les conséquences potentielles de leurs actions. En toute hypothèse, faudrait-il peut-être procéder par étape avant de légiférer spécifiquement ? Il paraîtrait en effet opportun de définir tout d’abord ce qui pourrait être, en l’état de l’art, un cadre pertinent de sécurité et de prudence pour la conception et l’utilisation de tels systèmes complexes et d’évaluer ensuite s’il est nécessaire de faire évoluer – ou non – le régime actuel des infractions involontaires (qui distingue bien entre les liens de causalité directe ou indirecte et impose de caractériser soit une faute simple, soit une faute délibérée ou caractérisée en fonction de la nature de ce lien de causalité).
Magistrat et maître de conférences associé à l’université de Strasbourg
Auteur des ouvrages « L’intelligence artificielle en procès » (Bruylant) et « IA générative et professionnels du droit » (LexisNexis)
Les opinions exprimées n’engagent que son auteur.
Aller plus loin ?
Intelligence artificielle et cybercriminalité : interviews lors de la conférence « Octopus 2018 » du Conseil de l’Europe
Infographie de la société GEMALTO sur les failles de sécurité
Notes
[1] Voir à titre d’illustration l’infographie de la société Gemalto, ci-dessus.
[2] Voir par exemple l’article de vulgarisation publié sur le site d’information du MIT : http://news.mit.edu/2016/ai-system-predicts-85-percent-cyber-attacks-using-input-human-experts-0418
[3] D. Mimran, Risks of Artificial Intelligence on Society, 27 octobre 2017 : https://www.dudumimran.com/2017/10/risks-artificial-intelligence-society.html/
[4] Convention sur la cybercriminalité du Conseil de l’Europe, 23 novembre 2001 : http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_fr.pdf
[5] P. Gladyshev, Artificial Intelligence and cybercrime, Eolas Magazine, 29 mars 2018 : http://www.eolasmagazine.ie/artificial-intelligence-and-cybercrime/
[6] G. Hallevy, The Criminal Liability of Artificial Intelligence Entities, 15 février 2010 : https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1564096
[7] Le Parlement propose également de réfléchir à des formes d’assurances pour les clients, voir par exemple M. Delvaux, Un cadre légal en matière de robotique est nécessaire, 12 janvier 2017 : http://www.europarl.europa.eu/news/fr/headlines/economy/20170109STO57505/mady-delvaux-un-cadre-legal-en-matiere-de-robotique-est-necessaire
[8] L. Neuer, Entretien avec Nathalie Nevejans, « Responsabilité des robots : appliquons nos règles de droit », L’Express, 11 avril 2017 : http://www.lepoint.fr/chroniqueurs-du-point/laurence-neuer/responsabilite-des-robots-appliquons-nos-regles-de-droit-11-04-2017-2118933_56.php