weerapat1003 - stock.adobe.com
Sécurité de l’IA : optimistes, les autorités américaines alertent tout de même sur les risques
Présents lors de la RSA Conference 2024, les représentants du gouvernement américain ont vanté les avantages des programmes pilotes sur l’IA dans le secteur public, tout en soulignant observer comment divers acteurs de la menace abusent des nouvelles technologies.
Les représentants du gouvernement fédéral américain présents à la RSA Conference 2024 en ont profité pour vanter les énormes mérites de l’intelligence artificielle, mais ont également souligné la nécessité de se protéger contre les risques de cette vague technologique qui s’avance à vive allure.
L’intelligence artificielle, et plus particulièrement l’IA générative, a dominé – avec le concept de sécurité by-design – la grande conférence mondiale sur la cybersécurité. Tout au long de la semaine, les dirigeants américains se sont donc exprimés sur l’IA et ce qu’elle signifie, tant pour le secteur public que privé. Dans son discours d’ouverture de la RSA Conference 2024 lundi, le secrétaire d’État, Antony Blinken, a dévoilé la stratégie internationale du département d’État (le ministère des Affaires étrangères des États-Unis) en matière de cyberespace et de numérique. Cette stratégie décrit comment le gouvernement américain prévoit de s’engager et de s’associer avec d’autres nations sur une série de questions technologiques, y compris l’IA.
« En ce qui concerne l’IA, aussi confiants que nous soyons dans son potentiel, nous sommes profondément conscients des risques qu’elle comporte : suppression et transfert d’emplois, production de fausses informations, promotion des préjugés et de la discrimination, utilisation déstabilisante d’armes autonomes », a déclaré Antony Blinken lors de son discours d’ouverture. « Nous travaillons donc avec nos partenaires pour prévenir et résoudre ces problèmes. »
Il a également mis en avant le décret pris par le président Joe Biden à l’automne dernier en vue de créer des normes pour un développement sûr et sécurisé de l’IA, ainsi que la création récente du Consortium américain de l’Institut de sécurité de l’IA, qui comprend plus de 200 entreprises privées telles que Google, Microsoft, Nvidia et OpenAI.
« Le secteur privé est un partenaire essentiel dans cet effort, c’est pourquoi nous avons travaillé avec les principales entreprises d’IA sur une série d’engagements volontaires, comme la promesse de tests de sécurité avant de lancer de nouveaux produits, le développement d’outils pour aider les utilisateurs à reconnaître le contenu généré par l’IA », a déclaré Antony Blinken.
Le département d’État a également commencé à piloter des projets GenAI cette année pour aider à la recherche, au résumé, à la traduction et même à la composition de documents. Ce qui, selon Antony Blinken, libère les membres du personnel pour qu’ils passent plus de temps en discussion plutôt qu’en traitement de documents.
Alejandro Mayorkas, secrétaire à la sécurité intérieure (DHS, en anglais, Department of Homeland Security), a également évoqué les applications de la technologie de l’IA dans les projets pilotes du ministère. Par exemple, un projet combine tous les rapports d’enquête criminelle et utilise l’IA « pour identifier des connexions dont nous n’aurions pas eu connaissance autrement », a-t-il déclaré.
Ce que j’aimerais, c’est que les administrés jettent un coup d’œil au ministère de la Sécurité intérieure dans cinq ans et disent : « Je n’arrive pas à croire qu’ils utilisent l’IA pour faire avancer leur mission ». C’est une redéfinition de la perception du gouvernement, non pas comme paresseux et labyrinthique, mais comme agile, dynamique et repoussant vraiment les limites », a déclaré Alejandro Mayorkas.
Toutefois, l’utilisation interne et externe de l’IA présente des risques importants. À cette fin, le DHS a publié le mois dernier des lignes directrices en matière de sûreté et de sécurité à l’intention des organisations d’infrastructures critiques américaines concernant l’utilisation de l’IA, ainsi que les menaces extérieures potentielles. Ces menaces comprennent les attaques d’ingénierie sociale renforcées par l’IA, telles que les faux sons et les fausses vidéos.
Toutefois, Alejandro Mayorkas a également souligné que les organisations doivent tenir compte des risques associés à la conception et à la mise en œuvre de l’IA. Une chose a été clairement établie lors de la réunion inaugurale du nouveau conseil consultatif du DHS (son ministère) sur la sûreté et la sécurité de l’IA, a-t-il déclaré, à savoir que le développement d’une technologie sécurisée va de pair avec celui d’une technologie responsable. « Par exemple, nous ne pouvons pas accepter qu’une mise en œuvre sûre de l’IA implique la perpétuation de préjugés ».
Utilisation malveillante de l’IA
La façon dont les acteurs de la menace peuvent utiliser et abuser de l’IA pour améliorer leurs attaques a également été un sujet de discussion fréquent lors de la conférence RSA 2024. À l’occasion d’une session qui s’est tenue mercredi, Rob Joyce, ancien directeur de la cybersécurité à la National Security Agency (NSA), a déclaré que les acteurs de la menace de tous types ont déjà commencé à utiliser des outils d’IA pour améliorer les courriels d’hameçonnage et d’autres attaques d’ingénierie sociale.
« Nous n’assistons pas à des exploitations techniques basées sur l’IA. Mais nous voyons certainement l’IA utilisée pour scanner et trouver des vulnérabilités à grande échelle », a expliqué Rob Joyce. « Nous constatons que l’IA est utilisée pour comprendre certaines publications techniques et les nouvelles publications CVE afin d’aider à concevoir des exploits de type “N-day”. Mais l’énorme développement des zero-day pour les activités de piratage n’a pas encore eu lieu aujourd’hui ». En clair, le pire risque est devant nous.
Lors d’une table ronde organisée mardi, Lisa Monaco, procureur générale adjointe au ministère américain de la Justice, a, de son côté, qualifié l’IA d’« outil incroyable » que son ministère utilise pour diverses tâches. Qu’il s’agisse d’analyser et de trier les plus d’un million d’informations reçues chaque année par le FBI, ou de contribuer à l’enquête de grande ampleur menée le 6 janvier dernier. Mais elle précise également que le ministère de la Justice étudiait « en permanence » les menaces potentielles liées à l’IA.
« Nous sommes préoccupés par la capacité de l’IA à abaisser les barrières à l’entrée pour les criminels de tous bords, à renforcer les acteurs malveillants – qu’il s’agisse d’États-nations l’utilisant comme outil de répression et renforçant leur capacité à s’engager dans l’autoritarisme numérique –, à accroître la menace cybernétique et à permettre aux pirates de trouver des vulnérabilités à grande échelle et à grande vitesse afin de les exploiter », prévient Lisa Monaco.
Interrogé en marge de ces interventions par les équipes éditoriales de TechTarget, John Hultquist, analyste en chef du renseignement chez Mandiant, filiale cybersécurité de Google, se veut rassurant et explique que « si les acteurs de la menace abusent indubitablement de la technologie de l’IA et continuent de le faire, la cybersécurité et les défenseurs en bénéficieront finalement bien plus que les adversaires. […] En fin de compte, l’IA est un outil d’efficacité, et l’adversaire va l’utiliser comme tel. Je pense que dans une certaine mesure, les défenseurs ont un avantage à cet égard parce que nous avons les processus et d’autres dispositifs avec lesquels nous pouvons l’intégrer. […] Nous le contrôlons, ils ne le contrôlent pas nécessairement. Et nous mettons constamment en place des contrôles pour réduire leur capacité à l’utiliser ».