D’abord, c’est un oléoduc, puis un grand abattoir qui a été paralysé par des cyberattaques. Il ne se passe pas une semaine sans qu’un hôpital ici, une compagnie maritime là ou, plus récemment, Colonial Pipeline, dont les oléoducs font transiter 45 % de l’approvisionnement en carburant de la côte Est américaine, et le producteur de viande JBS aient dû interrompre leurs activités pendant quelques jours en raison d’attaques par ransomware. Le modus operandi est toujours le même : les pirates s’introduisent dans les serveurs des entreprises par des failles de sécurité, prennent le contrôle des serveurs et cryptent les données. Ils demandent ensuite une rançon, sans laquelle ils ne peuvent pas annuler le cryptage.

En 2012, Leon E. Panetta, alors secrétaire d’État à la défense des États-Unis, a mis en garde contre le Cyber Pearl Harbor. Il faisait référence à la plus grave attaque sur le sol américain à ce jour, qu’un groupe de porte-avions japonais avait menée sans avertissement contre la marine américaine stationnée dans le port hawaïen de Pearl Harbor en 1941. Cette attaque surprise a coûté la vie à plus de 2 400 personnes et a conduit les États-Unis à déclarer la guerre au Japon le lendemain.

Mais aujourd’hui, M. Panettta prévoit des attaques numériques surprises contre des infrastructures critiques, pour lesquelles la question n’est pas de savoir si elles vont se produire, mais quand. À l’époque, ses détracteurs l’accusaient d’avoir exagéré les craintes, mais les dernières années ont montré que les cyberattaques ne gagnent pas en intensité. Le New York Times souligne qu’il y a désormais une attaque par ransomware toutes les huit minutes aux États-Unis. Et ils sont de plus en plus audacieux. Les centrales électriques ukrainiennes ont déjà été prises en charge et arrêtées à plusieurs reprises par des groupes de pirates informatiques russes, et l’attaque de l’oléoduc américain, avec le chaos qui s’en est suivi lorsque de longues files d’attente se sont formées devant les stations-service, donne un aperçu des dommages potentiels si des infrastructures beaucoup plus sensibles sont attaquées. Les attaques contre les circuits de feux de signalisation, le contrôle du trafic aérien ou les centrales nucléaires peuvent directement devenir des menaces physiques graves.

On n’en est pas encore là, et les événements de ces dernières semaines ont incité le gouvernement américain à porter une attention particulière à ces formes de criminalité et potentiellement de guerre secrète. Neuf ans après son discours, Panetta se demande ce qu’il faudrait pour que de telles cyberattaques soient prises vraiment au sérieux. À l’instar de Pearl Harbor ou des attentats du 11 septembre 2001, faut-il que des milliers de vies soient perdues pour que les gouvernements et les entreprises réagissent ? L’opinion selon laquelle les cyberattaques devraient être considérées comme du terrorisme ou une déclaration de guerre gagne lentement du terrain.

Mais tout cela semble avoir un impact incomparable par rapport aux dégâts causés par une autre technologie qui connaît sa première floraison : l’intelligence artificielle.

IA Pearl Harbor

La qualité d’une menace liée à l’IA peut aller bien au-delà des simples cyberattaques. Les cyberattaques d’aujourd’hui sont menées par des humains qui exécutent des scripts automatisés, par exemple pour détecter des failles de sécurité ou en utilisant l’ingénierie sociale pour obtenir des informations d’identification auprès des employés d’une entreprise.

L’IA est différente car elle peut agir en tant que son propre agent et elle n’agit plus nécessairement au nom des humains. Dans le film The Fate of the Furious (2017), la méchante incarnée par Charlize Theron prend le contrôle de voitures capables de conduire de manière autonome et les balance sur les héros de l’histoire.

L’IA n’a même pas besoin de prendre le contrôle de voitures à conduite autonome ou, comme le philosophe d’Oxford Nick Bostrom l’a décrit dans son livre Superintelligence, d’une usine de trombones. Il suffit d’algorithmes relativement primitifs qui, par une sélection ciblée de messages sur Facebook, radicalisent de plus en plus les gens et polarisent les pays, négocient des actions qui entraînent ensuite un krach éclair et une panique boursière ou, comme Stuxnet, paralysent systématiquement les centrifugeuses destinées à l’enrichissement de l’uranium dans un pays classé comme hostile. Le prochain problème était déjà préprogrammé ici. Lorsque des logiciels de ce type sont diffusés ou volés dans le cadre d’un piratage, comme ce fut le cas pour la NSA, toutes sortes d’acteurs disposent soudain d’un arsenal de logiciels malveillants. Ce qui peut paralyser l’enrichissement de l’uranium dans un pays peut faire de même pour les ventilateurs des hôpitaux nationaux.

Grâce à l’apprentissage automatique, l’intelligence artificielle peut s’améliorer en permanence. Si, aujourd’hui, l’accent est toujours mis sur l’apprentissage supervisé basé sur des données conservées par des humains, il existe déjà des réseaux neuronaux qui ne nécessitent plus de supervision (apprentissage non supervisé) et qui peuvent obtenir des données eux-mêmes en se déplaçant dans notre monde sous forme physique et numérique. Les voitures autonomes créent constamment de nouvelles données en traversant notre monde.

Si les modèles de pensée et les objectifs de l’IA actuelle sont encore prédéterminés par les humains, des efforts sont déjà déployés pour développer des modèles permettant à une IA de reconnaître la causalité et le contexte au-delà de la reconnaissance des formes, afin de créer ses propres cadres de pensée et de fixer ses propres objectifs sur cette base.

Et puis ce n’est qu’une question de temps avant qu’une telle IA ne s’échappe d’un laboratoire, intentionnellement ou non, et ne devienne indépendante, comme un virus qu’on ne peut plus arrêter. Une telle IA, qui s’entraîne et ne se contente pas de s’adapter à de nouvelles situations avec le même modèle de pensée, mais qui est capable de développer des alternatives et de réagir aux changements à une vitesse incroyable, nous échapperait constamment.

Ce qui pourrait commencer de manière inoffensive, en confiant à une IA la tâche d’apprendre une langue en collectant et en scannant des documents accessibles au public, pourrait l’amener à pénétrer dans des bases de données protégées pour accomplir sa tâche. Toute tentative de l’empêcher de le faire pourrait l’amener à désactiver le disabler. Si elle se rend compte qu’il lui manque des variantes linguistiques, elle peut essayer de les générer en utilisant les médias sociaux avec des blocs de texte conçus pour les humains afin d’inciter les utilisateurs à donner des réponses appropriées pour combler les lacunes qu’elle a identifiées. Les utilisateurs eux-mêmes ne s’en rendraient même pas compte.

Comment s’y préparer ?

Comme pour le cyber-Pearl Harbor, la question du Pearl Harbor de l’IA n’est pas de savoir si cela peut se produire, mais quand. Et comment pouvons-nous nous y préparer et prévenir ou minimiser les dommages ?

Cela commence par une prise de conscience accrue que ces scénarios de menace existent déjà et se produiront. Et qu’ils sont préparés et se déroulent en secret. Ce ne sont pas des chars et des troupes qui sont déplacés ou des voleurs de banque qui entrent par la porte principale, mais ils circulent dans les flux de données et se nichent sur les serveurs où ils font leur travail nuisible sans être remarqués.

Alors que les cyberattaques qui paralysent les usines de viande ou les oléoducs ressemblent encore à des braqueurs qui tirent et crient pour pénétrer dans le hall de la banque, avec l’air de novices maladroits qui cherchent à attirer l’attention, les attaques intelligentes se produisent discrètement. Ils prennent discrètement et furtivement le contrôle des serveurs, transférant de petites sommes d’argent qui passent inaperçues sur les comptes des destinataires. Stuxnet n’a pas attiré l’attention en paralysant toutes les centrifugeuses dès le début. Le virus s’est comporté de manière discrète, faisant passer les défaillances lentes de toutes les centrifugeuses pour des erreurs d’opérateur ou de maintenance. Lorsque les opérateurs ont soupçonné qu’il pouvait s’agir d’une cyberattaque hostile, des mois s’étaient écoulés et le travail avait été retardé de plusieurs années.

Il ne suffit pas que les pays et les autorités internationales proposent des lignes directrices éthiques pour l’IA et espèrent que tout le monde les suivra. Si nous pouvons tirer une leçon des cyberattaques et des réseaux de zombies, c’est que des pays et des cultures ayant des idées différentes en matière de moralité et d’éthique utiliseront cette technologie à leurs fins, tout comme nous. Le Stuxnet de l’Amérique est le botnet Facebook de la Russie. Il en sera de même avec l’IA. La Chine, la Russie, les États-Unis et même la France ont reconnu l’IA comme une technologie clé, notamment dans tous les domaines militaires.

Mais la connaissance de l’IA dans les institutions laisse encore beaucoup à désirer. Les organismes compétents sont eux-mêmes encore aux prises avec la numérisation, comme l’a clairement rappelé la pandémie de Corona. Le char qui apparaît à la frontière nationale est pris plus au sérieux que les hackers ou l’IA qui se répand dans les serveurs des ministères, des entreprises et des citoyens. il est urgent de créer une agence ou une autorité distincte qui soit au même niveau que le ministère de la défense. La menace la plus forte passe par l’Ethernet, et n’escalade plus la barrière frontalière.

Elle ne sera prise au sérieux – et je n’ai pas besoin d’être un grand prophète ici – que lorsqu’une IA tuera des milliers de personnes ou volera des centaines de milliards d’euros à l’État à la suite d’une telle attaque. Ce n’est qu’alors que même le dernier prendra conscience que des choses sans importance peuvent causer des dommages matériels.

L’avènement d’un Pearl Harbor de l’intelligence artificielle n’est pas inévitable parce que nous ne pouvons pas nous y préparer et nous défendre, mais parce que, comme toujours, nous ne le prenons pas au sérieux avant qu’il ne se produise.