CAIRN.INFO : Matières à réflexion
2019/5
format_quote Citer ou exporter Ajouter à une liste Suivre cette revue

Article

Menaces et enjeux

1 Janvier 2018, lors de la conférence S4 à Miami, soit près de dix ans après StuxNet[1], les chercheurs de FireEye dévoilent les secrets du logiciel malveillant Triton qui a infecté l’un des systèmes de contrôle et d’acquisition de données de Schneider Electrics en Arabie saoudite. En déclenchant des commandes via des appareils industriels, ce maliciel met des vies en danger et se propage rapidement, comme le mentionne Martin Giles [2].

2 27 septembre 2018, des chercheurs d’ESET (Enjoy Safer Technology) révèlent que le micrologiciel malveillant Lojax a été détecté sur des cibles étatiques de l’Europe centrale et d’Europe de l’Est. Immédiatement après le démarrage de Windows, ce rootkit UEFI/BIOS (Unified Extensible Firmware Interface/Basic Input Output System) déclenche l’activité d’un autre maliciel permettant par exemple d’exfiltrer des données, d’endommager l’ordinateur et de se propager. Comme il réside dans le microprogramme du système, il peut survivre à une réinstallation de Windows et à un changement de disque dur. L’attaque est attribuée au groupe russe APT28 qui vise à obtenir des renseignements de géopolitique et de défense. Jean-Ian Boutin préfère prévenir : « Nous savions déjà que les rootkits UEFI pouvaient exister… en théorie ! Mais notre découverte confirme désormais qu’ils sont une réalité opérationnelle pour au moins un groupe d’attaquants. Ils représentent donc une vraie menace et non plus seulement un sujet intéressant pour les conférences de sécurité. »

3 22 février 2019, des pirates informatiques attaquent le DNS (Domain Name System), l’annuaire de l’Internet qui recense les relations entre adresses Internet et noms de domaines. Sans contre-mesures rapides, des données critiques auraient pu atterrir sur des sites malveillants.

4 Ces quelques exemples récents illustrent quelques-unes des menaces susceptibles d’affecter le cyberespace : pénétration des réseaux à des fins d’espionnage ou de vol de données, prise de contrôle à distance ou destruction d’infrastructures critiques (eau, électricité, gaz, communication, réseaux commerciaux), modification clandestine de données. Par la voix de son directeur Guillaume Poupard [3], l’Agence nationale de la sécurité des systèmes d’information (ANSSI) redoute une « succession d’attaques massives surprises car tous les éléments techniques sont disponibles, il ne reste plus qu’à avoir la volonté et d’allumer la première mèche ». « Un groupe terroriste qui apporterait la preuve qu’il a provoqué une catastrophe aérienne, ferroviaire ou maritime, créerait une situation de blocage de l’ensemble du secteur à l’échelle mondiale avec des conséquences économiques et sociétales difficiles à imaginer. » Au-delà du terrorisme, nous avons affaire à des groupes d’attaquants très organisés, adossés pour certains à des services de renseignements étatiques qui visent des entreprises et des engagements militaires opérationnels français. Même les systèmes stratégiques liés à la dissuasion nucléaire ou les systèmes d’armes perfectionnés (aéronefs de combat ou de transport, navires de surface ou sous-marins, véhicules de combat terrestres) sont potentiellement menacés.

L’IA dans les centres opérationnels de sécurité

5 Pour répondre à ces enjeux sociaux-économiques et de souveraineté, le Centre d’analyse de lutte informatique défensive (Calid) du ministère des Armées et le centre de cyberdéfense de l’ANSSI, assurent, depuis respectivement 2011 et 2014, les six missions opérationnelles de la lutte informatique défensive (LID) [4] : prévenir le risque représenté par la numérisation des organisations ou des équipements ; anticiper les cyberattaques et prendre des mesures préventives ; protéger en diminuant la vulnérabilité des systèmes informatiques ; détecter les indices d’une éventuelle cyberattaque ; réagir de façon à résister à une cyberattaque ; attribuer, autrement dit, préciser l’auteur d’une cyberattaque.

6 Aujourd’hui, ces centres opérationnels de sécurité, SOC (Security Operation Center), s’appuient en partie sur des solutions exploitant l’apprentissage automatique (Machine Learning). Celles-ci reposent principalement sur des algorithmes d’apprentissage profond (Deep Learning) ou des algorithmes inventés pour la plupart avant les années 1980 [5]. Ces solutions sont notamment capables de repérer des groupes, identifier des corrélations, classifier des attaques ou détecter des signaux faibles dans des environnements numériques aussi variés que des traces réseaux ou systèmes, du texte, des images, etc. Grâce à l’accroissement des capacités computationnelles et au traitement des données massives (Big Data), elles sont surtout devenues plus rapides. L’engouement pour ces nouvelles techniques ne cesse de croître. Gartner [6] estime que fin 2020, 60 % des déploiements IDPS (Instruction Detection and Prevention System) seront complétés par de l’apprentissage automatique et de l’analyse comportementale alors que ces solutions ne représentaient que 10 % à fin 2017.

Limite des IA actuelles

7 En dépit de toutes leurs qualités, les solutions IA utilisées opérationnellement sont très loin de détecter les menaces persistantes avancées, APT (Advanced Persistent Threats), ou de découvrir l’enchaînement réel des actions provoquant les dommages. L’une des raisons de cet échec est que pour aboutir à des modèles qui s’appliquent dans le monde réel, la donnée labellisée (saine et malveillante) est indispensable. Or, les données cyberdéfense demeurent confidentielles. Les modèles ne peuvent donc pas se généraliser faute d’un apprentissage sur un jeu de données suffisamment conséquent.

8 Ce n’est cependant pas la seule raison. En effet, comme relevé par le chercheur en IA Gary Marcus [7], les approches par les réseaux de neurones actuels présentent certaines limites : elles sont gourmandes en données d’apprentissage ; leurs architectures sont parfois difficiles à concevoir et à paramétrer ; leurs applications au monde réel sont limitées car elles supposent un monde qui n’évolue pas ou peu ; enfin, elles ne permettent pas de distinguer la causalité de la corrélation et n’apportent donc pas de preuves suffisantes pour que l’on puisse automatiquement se fier à leurs verdicts.

Cahier des charges de la future IA

9 Alors, comment aller plus loin pour limiter les cyberattaques, leur propagation et leurs conséquences ?

10 Dans un premier temps, la cyberdéfense doit étendre ses capacités d’actions et de perception pour être en mesure de traiter d’égal à égal avec l’attaquant dont la palette d’actions est nettement plus riche. La LID doit donc être accompagnée de l’arsenal d’actions supplémentaires de la lutte informatique offensive (LIO) [8] pour évaluer les capacités, les motivations et les intentions adverses ; réduire, voire neutraliser, les capacités adverses ; agir sur les perceptions ou la capacité d’analyse adverse.

11 Dans un second temps, face à l’imagination des ennemis, la croissance de leurs moyens et la recrudescence des attaques ainsi que pour libérer du temps aux analystes, il est nécessaire de rendre les systèmes plus automatiques, plus rapides et plus intelligents. En tout état de cause, la cyberdéfense ne sera gagnante qu’avec la coopération entre humain et IA. Or, force est de constater que les IA actuelles, notamment les réseaux de neurones profonds, sont insuffisantes pour créer une véritable intelligence artificielle comparable à celle de l’humain. « L’IA a besoin d’autres mécanismes d’inspiration plus cognitive » comme l’évoquent Jean-Louis Dessalles (chercheur IA) [9] ou Stanislas Dehaene (neuroscientifique) et Yann Le Cun (l’un des inventeurs du Deep Learning) [10]. L’imitation de l’intelligence naturelle voire l’amplification de ses mécanismes, constitue donc probablement le futur de l’IA.

12 Définir l’intelligence est une gageure tant les acteurs sont partagés. D’aucuns s’accordent cependant : « L’intelligence est le reflet de la capacité à comprendre le monde et à s’adapter à des situations nouvelles en utilisant des processus cognitifs aussi variés que prédire, mémoriser, réaliser des calculs, raisonner, associer, synthétiser, créer, se concentrer, être curieux, définir des objectifs et leur assigner une valeur, communiquer, avoir conscience de soi, générer des émotions, les ressentir, les réguler et percevoir celles d’autrui en s’appuyant sur la dynamique des signaux émanant de multiples capteurs sensoriels. En ce sens, l’intelligence humaine fait intervenir toutes les régions du cerveau mais aussi celles du corps. » Pour Yann Le Cun, « la capacité à prédire constitue l’essence même de l’intelligence ». L’intelligence réside également dans la capacité de création, l’autonomie et une volonté farouche de survivre tout en favorisant le bien-être.

13 Sans aller jusqu’à doter l’IA de toutes les capacités de l’intelligence humaine, elle devra naturellement progresser du point de vue des compétences cognitives suivantes : la perception deviendra davantage multimodale en fusionnant notamment textes, sons, images et capteurs de toute nature ; les prédictions et attentions s’enrichiront pour abstraire des concepts tels que les intentions de l’attaquant, les risques et les conséquences d’une attaque ou d’une contre-mesure ; les raisonnements plus élaborés découvriront des preuves avérées plutôt que des corrélations non explicables ; la création de nouvelles prédictions, de nouveaux objectifs ou de comportements ainsi que l’auto-récompense augmenteront l’autonomie ; la remise en cause par mutation, combinaison et procréation multi-agents permettra une évolution continue ; la communication avec l’humain et les autres IA permettra de proposer des actions à l’humain en cas d’attaque (surveillance d’adresses Internet spécifiques, actions de gestion de crise…) et d’accélérer l’apprentissage par le biais de l’Active Learning qui permet à l’humain de réorienter ou de recentrer l’IA vers l’objectif à atteindre.

Avancées récentes

14 L’apprentissage profond (Deep Learning), l’apprentissage par renforcement (Reinforcement Learning) et les réseaux antagonistes génératifs (Generative Adversarial Network) ont été au centre de certaines des plus grandes avancées de l’IA de ces dernières années. En incorporant parfois de nouvelles capacités cognitives, des IA surpassent désormais l’humain dans la prédiction de tumeur cérébrale [11] ; l’élaborationde stratégies de combat numérique temps réel [12] ; la création de visages fictifs mais réalistes [13] ; la transformation à la volée de notre voix par celle d’un autre [14]. Par ailleurs, les neuroscientifiques, les évolutionnistes du vivant, les spécialistes des sciences cognitives, les éthologues et les philosophes se sont emparés du phénomène IA et accompagnent désormais les informaticiens, les roboticiens et les mathématiciens. La transdisciplinarité concourt, d’ores et déjà, à l’amélioration et la refonte des architectures IA. Le leitmotiv est que les futures IA passent avec succès le test de Turing [15].

15 * * *

16 Compte tenu des dernières promesses entrevues, le potentiel de l’IA est élevé. Les techniques récentes et leurs déclinaisons sont à expérimenter car peu sont exploitées dans le domaine cyberdéfense. Au service de la cyberdéfense, l’IA de demain sera celle qui mettra en œuvre un grand nombre des capacités cognitives de l’humain pour s’adapter à des environnements et à des attaquants qui évoluent en permanence.

17 Les principales innovations sont transdisciplinaires et proviennent tout autant des laboratoires académiques que des grandes et petites structures de recherche. Alors, comment capter ces innovations récentes qu’il faut maîtriser avant de les appliquer au contexte cyberdéfense ? La passion et la curiosité constituent les moteurs principaux. L’actualité de l’IA et les débats entre chercheurs doivent être suivis au quotidien d’un point de vue opérationnel, technique et éthique, sur les réseaux sociaux, dans les lettres d’information [16], les conférences et les publications scientifiques. Un avantage pour les curieux, la quasi-totalité des publications scientifiques est disponible en sources ouvertes [17].

Notes

  • [1]
    StuxNet est un ver informatique découvert en 2010 qui aurait été conçu par la NSA en collaboration avec l’unité 8200 pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium.
  • [2]
    Martin Giles : « Triton is the world’s most murderous malware, and it’s spreading », MIT Technology Review, 5 mars 2019 (www.technologyreview.com/).
  • [3]
    Damien Licata Caruso : « “Tout est là pour un cyber-Pearl Harbor”, alerte le gendarme de la sécurité informatique », Le Parisien, 25 janvier 2019 (www.leparisien.fr/) ; Guillaume Poupard : [FIC 2019] « Certaines attaques préparent les conflits futurs », L’Usine Nouvelle, 22 janvier 2019 (www.usinenouvelle.com/).
  • [4]
    Politique ministérielle de lutte informatique défensive, 2019 (www.defense.gouv.fr).
  • [5]
    Alexander Polyakov : « Machine Learning for Cybersecurity 101 », Towards Data Science, 4 octobre 2018 (https://towardsdatascience.com/).
  • [6]
    Craig Lawson, Claudio Neiva : « Magic Quadrant for Intrusion Detection and Prevention Systems », Gartner, 10 janvier 2018 (www.gartner.com/).
  • [7]
    Gary Marcus : « Deep Learning: A Critical Appraisal », Cornell University, 2 janvier 2018 (https://arxiv.org).
  • [8]
    Politique ministérielle de lutte informatique offensive, 2019 (www.defense.gouv.fr).
  • [9]
    Jean-Louis Dessalles : Des intelligences TRÈS artificielles ; Odile Jacob, 2019 ; 204 pages.
  • [10]
    Stanislas Dehaene, Yann Le Cun et Jacques Girardon : La Plus belle histoire de l’intelligence ; Robert Laffont, 2018 ; 288 pages.
  • [11]
    David Alayon : « BioMind, Artificial intelligence that defeats doctors in tumour diagnosis », Medium, 8 août 2018 (https://medium.com/).
  • [12]
    The AlphaStar team : « AlphaStar: Mastering the Real-Time Strategy Game StarCraft II », DeepMind, 24 janvier 2019 (https://deepmind.com/).
  • [13]
    Which Face Is Real (www.whichfaceisreal.com).
  • [14]
    Modulate (https://modulate.ai).
  • [15]
    Alan Turing : « Computing Machinery and Intelligence », Mind, vol. 59, n° 236, octobre 1950, Oxford University Press (www.csee.umbc.edu). Le prix Loebner est une compétition annuelle qui couronne les dialogueurs satisfaisant le mieux les critères du test de Turing (avec lequel on tente la chose la plus difficile : distinguer s’il s’agit d’un robot ou d’un humain).
  • [16]
    Jack Clark (https://jack-clark.net).
  • [17]
    Cornell University (https://arxiv.org/) ; OpenReview (https://openreview.net).

Résumé

Français

Les menaces cyber sont une réalité tangible et affectent d’ores et déjà notre défense. L’IA peut et doit contribuer à réduire ce risque, à condition de faire évoluer nos principes de cyberdéfense, en améliorant les capacités cognitives. Dans ce domaine, les potentialités de l’IA sont élevées avec l’avantage d’une littérature scientifique abondante.

  • cybermenaces
  • cyberdéfense
  • prédiction
  • transformation
English

English abstract on Cairn International Edition

Plan

  1. Menaces et enjeux
  2. L’IA dans les centres opérationnels de sécurité
  3. Limite des IA actuelles
  4. Cahier des charges de la future IA
  5. Avancées récentes

Bibliographie

Éléments de bibliographie

  • Stanislas Dehaene : Apprendre ! Les talents du cerveau, le défi des machines ; Odile Jacob, 2018 ; 380 pages.
  • Pierre-Yves Oudeyer : Aux sources de la parole - Auto-organisation et évolution ; Odile Jacob, 2013 ; 300 pages.
  • Francis Eustache (dir.) : La mémoire au futur ; Le Pommier, 2018 ; 156 pages.
  • Pascal Picq : L’Intelligence artificielle et les chimpanzés du futur ; Odile Jacob, 2019 ; 310 pages.
  • En ligne Éric Bapteste : Tous entrelacés ! - Des gènes aux super-organismes : les réseaux de l’évolution ; Belin, 2018 ; 352 pages.
  • Olivier Houdé : « Comment l’intelligence se développe », Revue des Deux Mondes, mai 2018.
  • Antonio Damasio : L’Ordre étrange des choses - La vie, les sentiments et la fabrique de la culture ; Odile Jacob, 2017 ; 392 pages.

Auteur

Olivier Gesny
Responsable du pôle « Embarqué, cybersécurité et IA », Silicom.
ogesny@silicom.fr
Cette publication est la plus récente de l'auteur sur Cairn.info.
Mis en ligne sur Cairn.info le 17/02/2020
https://doi.org/10.3917/rdna.820.0038
Pour citer cet article
Distribution électronique Cairn.info pour Comité d’études de Défense Nationale © Comité d’études de Défense Nationale. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...