{"id":428,"date":"2018-08-01T15:12:06","date_gmt":"2018-08-01T13:12:06","guid":{"rendered":"http:\/\/lestempselectriques.net\/?p=428"},"modified":"2020-04-09T16:49:06","modified_gmt":"2020-04-09T14:49:06","slug":"intelligence-artificielle-et-infractions-penales","status":"publish","type":"post","link":"https:\/\/lestempselectriques.net\/index.php\/2018\/08\/01\/intelligence-artificielle-et-infractions-penales\/","title":{"rendered":"Intelligence artificielle et infractions p\u00e9nales"},"content":{"rendered":"

Quel est l’impact des IA en mati\u00e8re de cybercriminalit\u00e9, de cybers\u00e9curit\u00e9 et d\u2019infractions involontaires\u00a0?<\/em><\/p>\n

\"\"<\/p>\n

Les potentialit\u00e9s des sciences, technologies et techniques de traitement des donn\u00e9es qualifi\u00e9es d\u2019intelligence artificielle (IA) ouvrent des perspectives redout\u00e9es et redoutables en mati\u00e8re de cybercriminalit\u00e9. Attaques automatis\u00e9es, coordonn\u00e9es, recherches automatiques de failles, l’IA constitue un v\u00e9ritable arsenal de guerre num\u00e9rique,\u00a0avec des b\u00e9n\u00e9fices qui n\u2019ont rien de virtuel pour leurs auteurs.<\/p>\n

Mais l’on parle moins souvent des potentialit\u00e9s de l\u2019IA pour lutter plus efficacement contre les menaces existantes et \u00e0 venir : combin\u00e9e \u00e0 des analystes humains, l’IA est en mesure d’aider \u00e0 d\u00e9jouer, voire \u00e0 anticiper, des attaques contre les syst\u00e8mes et de prot\u00e9ger leurs utilisateurs.<\/p>\n

D’une mani\u00e8re g\u00e9n\u00e9rale, l’\u00e9l\u00e9ment moral des infractions volontaires dans le cyberespace n’est pas complexe \u00e0 appr\u00e9hender juridiquement (la recherche et l’exploitation d’\u00e9l\u00e9ments mat\u00e9riels le sont certainement plus). La question de la responsabilit\u00e9 est en revanche beaucoup plus \u00e9pineuse s\u2019agissant de faits relevant du champ des infractions involontaires : quel responsabilit\u00e9 rechercher lorsqu’au Japon un bras robot \u00e9crase un ouvrier sur son passage ou une voiture autonome renverse un pi\u00e9ton aux Etats-Unis ? … les exemples ne manquent pas et risquent se multiplier dans un proche avenir. Les instruments juridiques actuels paraissent-ils satisfaisants pour appr\u00e9hender le ph\u00e9nom\u00e8ne ou conviendrait-il, au contraire, de concevoir de nouvelles l\u00e9gislations sp\u00e9cifiques ?<\/p>\n


\nL\u2019IA au service de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information<\/strong><\/p>\n

Avec la disponibilit\u00e9 d\u2019un nombre croissant de donn\u00e9es num\u00e9riques, une quantit\u00e9 consid\u00e9rable d’informations personnelles et financi\u00e8res ont \u00e9t\u00e9 expos\u00e9es \u00e0 de potentielles exploitations frauduleuses[1]<\/a>. Qu\u2019il s\u2019agisse des formes classiques de criminalit\u00e9 sur internet (escroqueries par exemple) ou de nouvelles formes (intrusion dans des syst\u00e8mes d\u2019information), ces infractions ont conduit \u00e0 des pertes \u00e9conomiques consid\u00e9rables. Selon une \u00e9tude d’Accenture en 2017, le co\u00fbt moyen d’une atteinte \u00e0 la vie priv\u00e9e a \u00e9t\u00e9 chiffr\u00e9 \u00e0 11,7 millions de dollars, soit une hausse de 23 % par rapport \u00e0 l’ann\u00e9e pr\u00e9c\u00e9dente. Ce constat est \u00e0 enrichir d\u2019un autre dress\u00e9 cette fois-ci par IBM en 2014 : 95% de la cybercriminalit\u00e9 r\u00e9sulte d’une erreur humaine. Malgr\u00e9 les technologies de s\u00e9curit\u00e9 avanc\u00e9es disponibles aujourd’hui, la plupart des pirates continuent de cibler les vuln\u00e9rabilit\u00e9s du comportement humain, et pas seulement celles, techniques, des syst\u00e8mes et des r\u00e9seaux.<\/p>\n

L\u2019IA constitue donc une opportunit\u00e9 pour mieux g\u00e9rer les risques, non pas de mani\u00e8re totalement autonome, mais en appui \u00e0 des comp\u00e9tences, bien humaines, en cybers\u00e9curit\u00e9. Le laboratoire d’informatique et d’intelligence artificielle du MIT a ainsi mis au point une \u00ab\u00a0plate-forme de cybers\u00e9curit\u00e9 adaptative\u00a0\u00bb d\u00e9nomm\u00e9e AI\u00b2 qui am\u00e9liore ses performances dans le temps par la combinaison d’apprentissage machine (machine learning<\/em>) et des apports d\u2019analystes en s\u00e9curit\u00e9[2]<\/a>. Concr\u00e8tement, AI\u00b2 b\u00e2tit des mod\u00e8les comportementaux significatifs d\u2019attaques et tente ensuite de les pr\u00e9dire en d\u00e9tectant des activit\u00e9s suspectes. Il pr\u00e9sente ensuite ces activit\u00e9 \u00e0 des analystes humains qui confirment quels \u00e9v\u00e9nements sont des attaques r\u00e9elles, et int\u00e8gre cette r\u00e9troaction dans ses mod\u00e8les pour les ensembles suivants de donn\u00e9es.<\/p>\n

Une autre potentialit\u00e9 de l\u2019IA est la possibilit\u00e9 de faciliter les investigations et l\u2019identification des cybercriminels. Dudu Mimran, directeur des technologies (CTO) du Telekom Innovation Laboratories<\/em> en Isra\u00ebl, relevait dans un discours devant l’OCDE que l\u2019am\u00e9lioration des m\u00e9thodes d\u2019investigation et d\u2019identification \u00ab\u00a0souffre de sous-investissements parce qu’elle manque de viabilit\u00e9 commerciale\u00a0\u00bb[3]<\/a>. Cette difficult\u00e9, bien connue des sp\u00e9cialistes, s\u2019explique au vu du nombre extr\u00eamement important de variables \u00e0 \u00e9tudier, dont les fragments de code malveillants et la recherche d\u2019\u00e9ventuelles r\u00e9f\u00e9rences identifiant des cybercriminels (r\u00e9f\u00e9rences culturelles ou politiques par exemple). Cet expert sugg\u00e8re d\u2019augmenter substantiellement le financement de la recherche en IA, dans le but de d\u00e9velopper des syst\u00e8mes \u00ab\u00a0intelligents\u00a0\u00bb parvenant \u00e0 une meilleure identification d\u2019auteurs d\u2019infractions par corr\u00e9lation des diff\u00e9rentes traces, tout en ne perdant pas de vue la potentielle confidentialit\u00e9 des donn\u00e9es trait\u00e9es. De m\u00eame, il ne r\u00e9duit pas cette lutte \u00e0 une d\u00e9marche purement technique et il encourage \u00e0 la mise en place d\u2019un r\u00e9seau mondial de renseignement, bien humain, en capacit\u00e9 de suivre les menaces, en r\u00e9unissant des chercheurs, le monde des affaires et les autorit\u00e9s gouvernementales.<\/p>\n


\n<\/strong>L\u2019IA et l\u2019automatisation de la cybercriminalit\u00e9<\/strong><\/p>\n

La Convention sur la cybercriminalit\u00e9 du Conseil de l’Europe (\u00ab\u00a0Convention de Budapest\u00a0\u00bb) distingue deux grandes cat\u00e9gories de faits : les atteintes \u00e0 des syst\u00e8mes de traitement automatis\u00e9 de donn\u00e9es et les infractions de droit commun facilit\u00e9es par un environnement num\u00e9rique[4]<\/a>.<\/p>\n

S\u2019agissant de la premi\u00e8re cat\u00e9gorie, l\u2019IA est en capacit\u00e9 de renforcer l\u2019automatisation de modes d\u2019attaques directes de syst\u00e8mes d\u2019information (\u00ab\u00a0scan\u00a0\u00bb pour identifier et exploiter les vuln\u00e9rabilit\u00e9s techniques) ou indirecte en volant aupr\u00e8s d\u2019op\u00e9rateurs humains les informations n\u00e9cessaires pour acc\u00e9der \u00e0 un syst\u00e8me (enregistrement de donn\u00e9es \u00e0 l\u2019insu de l\u2019utilisateur ou ing\u00e9nierie sociale telle que le \u00ab fishing\u00a0\u00bb). L\u2019objectif de telles attaques, commun\u00e9ment appel\u00e9es \u00ab\u00a0piratage informatique\u00a0\u00bb, est souvent de d\u00e9rober des donn\u00e9es sensibles (identifiants de cartes de paiement par exemple) ou de bloquer purement et simplement le fonctionnement d\u2019un syst\u00e8me (d\u00e9ni de service).<\/p>\n

Depuis quelques ann\u00e9es ce dernier type d\u2019attaque est utilis\u00e9 pour des fins de chantage et illustre bien une \u00a0seconde cat\u00e9gorie de cybercriminalit\u00e9 telle que d\u00e9finie par la Convention de Budapest\u00a0: des faits de droit commun, facilit\u00e9s par les technologies num\u00e9riques. L\u00e0 encore, l\u2019IA peut servir \u00e0 automatiser des tentatives d\u2019escroqueries, de fraudes, mais \u00e9galement produire des contre-mesures pour prot\u00e9ger le stockage et la distribution de mat\u00e9riel ill\u00e9gal, comme la pornographie juv\u00e9nile et des contenus violant les droits d’auteur. D’autres types d\u2019infractions seraient aussi \u00e0 consid\u00e9rer, comme les manipulations boursi\u00e8res ou les modifications volontaires de comportement d’IA par d\u2019autres IA \u00e0 des fins criminelles ou d\u00e9lictuelles (les ing\u00e9nieurs ne sont pas capables de d\u00e9chiffrer compl\u00e8tement le code produit par les technologies d’apprentissage profond – deep learning<\/em>… la pr\u00e9vention de leur manipulation devra passer par diff\u00e9rentes m\u00e9thodes pour s\u2019assurer de l\u2019int\u00e9grit\u00e9 de fonctionnement).<\/p>\n

Pavel Gladyshev, professeur \u00e0 l\u2019University College Dublin, donne un dernier de criminalit\u00e9 facilit\u00e9 par l\u2019IA dans un de ses articles r\u00e9cents[5]<\/a>\u00a0: l\u2019application Deepfake<\/em> alt\u00e8re les photographies et les vid\u00e9os num\u00e9riques en rempla\u00e7ant automatiquement le visage d’une personne par un autre. Bien qu’elle ait \u00e9t\u00e9 cr\u00e9\u00e9e \u00e0 l’origine pour le divertissement d\u2019adultes, la technologie a clairement le potentiel de produire de fausses vid\u00e9os montrant, par exemple, des politiciens assister \u00e0 des r\u00e9unions inexistantes ou s’engageant dans des activit\u00e9s qui pourraient nuire \u00e0 leur r\u00e9putation.<\/p>\n


\nLe r\u00e9gime de responsabilit\u00e9 des infractions commises avec ou par des IA<\/strong><\/p>\n

Il est encore p\u00e9rilleux de tenter d\u2019\u00e9laborer des r\u00e8gles de droit alors que nous sommes encore dans une phase de transition technologique, dont on suppose l\u2019avenir sans r\u00e9ellement le conna\u00eetre. Les r\u00e9flexions sur la d\u00e9finition d\u2019un r\u00e9gime de responsabilit\u00e9 quand des IA sont en jeux peuvent toutefois commencer s\u2019appuyer ce que sont clairement ces syst\u00e8mes\u00a0: ce sont des mod\u00e8les math\u00e9matiques cr\u00e9\u00e9s par des humains pour ex\u00e9cuter des t\u00e2ches complexes et qui se trouvent assign\u00e9s lors de leur conception une fonction pr\u00e9cise.<\/p>\n

La question d\u2019une pr\u00e9tendue \u00ab\u00a0volont\u00e9\u00a0\u00bb autonome d\u2019une IA (et des robots fonctionnant sur la base d\u2019IA) est imm\u00e9diatement \u00e0 \u00e9carter s’agissant d’infractions volontaires commises ou commandit\u00e9es par des humains.\u00a0Il faudra se garder de tout anthropomorphisme et il ne sera pas question de rechercher une conscience et un \u00e9l\u00e9ment intentionnel dans une agr\u00e9gation de syst\u00e8mes ou un algorithme : il conviendra de revenir syst\u00e9matiquement \u00e0 l\u2019agent humain qui a utilis\u00e9 ou assembl\u00e9 ces syst\u00e8mes avec l’intention de commettre une infraction. En d’autres termes, la question n’est pas diff\u00e9rentes d\u2019autres outils utilis\u00e9s \u00e0 des fins infractionnelles et ces syst\u00e8mes, m\u00eames s’ils renvoient \u00e0 un imaginaire de science-fiction, n\u2019\u00e9dulcorent en rien la responsabilit\u00e9 directe d\u2019un agent humain[6]<\/a>. Une IA utilis\u00e9e pour attaquer en \u00ab\u00a0force brute\u00a0\u00bb un serveur ou d\u00e9tecter ses failles techniques n\u2019est gu\u00e8re diff\u00e9rente du marteau piqueur utilis\u00e9 pour attaquer le coffre-fort d\u2019une banque\u00a0: nul n\u2019aura \u00e0 l\u2019esprit de rechercher la responsabilit\u00e9 de l\u2019outil de chantier ou de son fabricant.<\/p>\n

Une certaine confusion semble toutefois exister pour les syst\u00e8mes ayant commis des dommages relevant du champ des infractions involontaires. Le d\u00e9c\u00e8s caus\u00e9 en mars 2018 par une voiture autonome exploit\u00e9e par Uber en Arizona a marqu\u00e9 les esprits et a illustr\u00e9 que les difficult\u00e9s ne proviennent de l\u2019absence d\u2019un cadre juridique adapt\u00e9, mais, encore une fois, d\u2019une incompr\u00e9hension de ce que sont r\u00e9ellement les IA aujourd\u2019hui. Les premi\u00e8res investigations semblent d\u00e9montrer qu\u2019un r\u00e9glage \u00ab\u00a0trop souple\u00a0\u00bb pour \u00e9viter des freinages intempestifs a contribu\u00e9 \u00e0 la survenance de l\u2019accident, en plus d\u2019une possible inaction d\u2019un agent de contr\u00f4le humain. Le r\u00e9gime des infractions involontaires est \u00e0 m\u00eame d\u2019appr\u00e9hender ce type de situation avec une certaine acuit\u00e9\u00a0: les r\u00e9glages op\u00e9r\u00e9s sur le freinage constituent-ils un manquement \u00e0 une obligation de prudence ou de s\u00e9curit\u00e9\u00a0? L\u2019agent de contr\u00f4le humain, \u00e0 bord du v\u00e9hicule, \u00e9tait-il concentr\u00e9 sur sa t\u00e2che\u00a0? Dans ce cas, m\u00eame si le contexte est nouveau, il n\u2019y a rien que les juristes ou des juges ne sauraient traiter avec les instruments existants.<\/p>\n

En revanche, la recherche de responsabilit\u00e9 risque de se complexifier quand diff\u00e9rentes technologies sont agr\u00e9g\u00e9es (robotique, IA, big data, blockchain par exemple) et\/ou si la machine a proc\u00e9d\u00e9 \u00e0 une phase autonome d\u2019apprentissage (comme l’apprentissage profond ou deep learning<\/em>)\u00a0 : une certaine dilution du r\u00f4le des diff\u00e9rents acteurs sera \u00e0 craindre au d\u00e9triment de la victime du dommage. En mati\u00e8re civile la d\u00e9finition d\u2019une personnalit\u00e9 juridique sp\u00e9cifique est soutenue par le Parlement europ\u00e9en[7]<\/a>\u00a0mais se trouve critiqu\u00e9e car elle alimenterait la confusion sur la nature r\u00e9elle des IA et ne repr\u00e9senterait au final un int\u00e9r\u00eat que pour les fabricants eux-m\u00eames (qui pourraient plus ais\u00e9ment d\u00e9gager leur responsabilit\u00e9 en s’appuyant sur des m\u00e9canismes d’indemnisation [8]<\/a>). En mati\u00e8re p\u00e9nale, une telle construction juridique fictive pourrait aussi pr\u00e9senter un int\u00e9r\u00eat s\u2019agissant de dommages involontaires ou inattendus pr\u00e9sentant un certain degr\u00e9 de gravit\u00e9 mais, l\u00e0 encore, il ne s’agit pas de d\u00e9responsabiliser les concepteurs, bien humains, sur les cons\u00e9quences potentielles de leurs actions. En toute hypoth\u00e8se, faudrait-il peut-\u00eatre proc\u00e9der par \u00e9tape avant de l\u00e9gif\u00e9rer sp\u00e9cifiquement ? Il para\u00eetrait en effet opportun de d\u00e9finir tout d\u2019abord ce qui pourrait \u00eatre, en l’\u00e9tat de l’art, un cadre pertinent de s\u00e9curit\u00e9 et de prudence pour la conception et l\u2019utilisation de tels syst\u00e8mes complexes et d\u2019\u00e9valuer ensuite s’il est n\u00e9cessaire de faire \u00e9voluer – ou non – le r\u00e9gime actuel des infractions involontaires (qui distingue bien entre les liens de causalit\u00e9 directe ou indirecte et impose de caract\u00e9riser soit une faute simple, soit une faute d\u00e9lib\u00e9r\u00e9e ou caract\u00e9ris\u00e9e en fonction de la nature de ce lien de causalit\u00e9).<\/p>\n\n

\n

Aller plus loin\u00a0?<\/strong><\/p>\n

Intelligence artificielle et cybercriminalit\u00e9 : interviews lors de la conf\u00e9rence \u00ab\u00a0Octopus 2018\u00a0\u00bb du Conseil de l’Europe<\/p>\n