L’intelligence artificielle comme obstacle à la cybercriminalité

Le terme communément utilisé de « cybercriminalité » renvoie à la réalisation d’infractions de nature pénale par l’utilisation des nouvelles technologies, notamment d’internet.

En 2014, L’Organisation de coopération et de développement économiques (OCDE) a rendu un rapport issu d’un groupe de travail interministériel sur la lutte contre la cybercriminalité[i].

Les experts à l’origine de ce rapport y expliquent que la cybercriminalité provient du droit anglo-saxon, et qu’elle consiste non pas en un ensemble d’infractions mais plutôt en un moyen spécifique dont celles-ci sont réalisées.

On reconnaitrait ainsi une infraction relevant de la cybercriminalité lorsqu’elle est effectuée d’une façon qui « facilite la commission de l’infraction, puisqu’un simple clic informatique suffit pour passer à l’acte ou atteindre à distance la victime potentielle, même si la mise en scène et les techniques utilisées sont souvent très élaborées ; en démultiplie les effets, en permettant, simultanément, d’attaquer de nombreuses cibles et en bénéficiant de la rapidité de propagation que permet l’outil ; tout en assurant une certaine impunité à son auteur, qui bénéficie, le plus souvent, d’un anonymat fortement protégé et de l’extranéité qui résulte de la localisation des serveurs et du lieu de stockage des données des principaux prestataires d’Internet. »

En résumé, il faut donc que le moyen utilisé rende plus aisée la réalisation de l’infraction, augmente l’impact de celle-ci et permette à l’individu fautif d’éviter d’avoir à subir les conséquences judiciaires qui découleraient de son acte.

La notion de cybercriminalité est par conséquent difficile à délimiter, ce qui serait d’ailleurs à l’origine de l’absence de sa définition dans les textes juridiques français et européens. C’est également ce qu’a affirmé la Commission européenne dans une communication adressée au Parlement européen le 22 mai 2007 : « Faute d’une définition communément admise de la criminalité dans le cyberespace, les termes « cybercriminalité », « criminalité informatique » ou « criminalité liée à la haute technologie » sont souvent utilisés indifféremment. Aux fins de la présente communication, « cybercriminalité » s’entend des « infractions pénales commises à l’aide de réseaux de communications électroniques et de systèmes d’information ou contre ces réseaux et systèmes[ii] ».

De même, la communication justifie l’absence d’une définition à l’échelle européenne en expliquant qu’une « harmonisation générale des définitions des infractions et des droits pénaux nationaux dans le domaine de la cybercriminalité n’est pas encore opportune, en raison de la diversité des types d’infraction couverts par cette notion. »

Pour autant, il convient de souligner que la cybercriminalité fait l’objet d’un encadrement juridique important, eu égard à la grande quantité de textes qui lui sont consacrés.

Au niveau européen, le texte le plus important en la matière est sans doute la Convention sur la cybercriminalité[iii] dite Convention de Budapest. Adoptée par le Conseil des ministres du Conseil de l’Europe le 23 novembre 2001 et entrée en vigueur le 1er juillet 2004, elle a été ratifiée par 56 Etats[iv]. Un rapport explicatif adopté au même moment que la Convention précise que celle-ci a pour objectif de réaliser une harmonisation des infractions relatives au droit pénal et à la cybercriminalité, ainsi que de faire en sorte que les procédures pénales des différents Etats soient en mesure de lutter contre ces infractions. Enfin, la Convention vise l’instauration d’une véritable coopération internationale[v].

On peut également citer la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques[vi], ou encore la directive  du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union[vii], dite « Directive SRI » ou « Directive NIS ».

En ce qui concerne la France, celle-ci s’est très tôt dotée d’une loi destinée à défendre les libertés sur internet. Il s’agit de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dont l’article 1er dispose que « l’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques[viii]. »

De plus, la loi du 5 janvier 1988 relative à la fraude informatique, dite loi Godfrain, a trait aux infractions en matière d’informatique[ix].

Enfin, la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 dispose d’un chapitre entier consacré explicitement à la lutte contre la cybercriminalité[x].

Malgré les nombreuses lois et conventions dédiées à la cybercriminalité, le constat actuel est que celle-ci est en constante augmentation. D’après le site CIO, les coûts des dommages résultant de la cybercriminalité devraient atteindre la somme extravagante de 6000 milliards de dollars en 2021, soit deux fois plus qu’en 2016. De même, toujours au cours de l’année 2021, les sommes d’argent dépensées devraient dépasser le seuil des 1000 milliards de dollars, et le nombre de personnes potentiellement victimes d’actes de cybercriminalité pourrait se porter à 6 milliards d’ici 2022[xi].

La difficulté pour les experts de la cybersécurité de contrer les actes de cybercriminalité résulte en partie de la lenteur du processus permettant d’analyser ce type d’attaques afin de pouvoir les contrecarrer. En effet, la méthode la plus couramment utilisée par les spécialistes consiste la plupart du temps à identifier le parcours virtuel qu’a suivi l’auteur de l’infraction pour arriver à ses fins[xii]. Pour ce faire, est utilisée la technique de la signature dont le recours constitue un moyen efficace de déduire d’un acte comportemental particulier le risque d’une attaque. Toutefois, l’application de ce procédé requiert la mobilisation d’un expert ainsi qu’un laps de temps relativement long[xiii].

A partir de ce constat, on ne peut qu’envisager l’intégration de l’intelligence artificielle dans le domaine de la cybersécurité sous un angle positif, puisque les algorithmes de machine learning ont la capacité de traiter rapidement une quantité drastique de données. De plus, ces algorithmes sont en mesure de déceler parmi ces données des signatures qui auraient été impossibles à identifier pour un être humain.

Cependant, les systèmes d’intelligence artificielle font l’objet d’un usage croissant, et le risque est alors de les voir tomber au service de la cybercriminalité. Si l’on en croit Mikko Hypponen, le Chief Research Officer de l’entreprise finlandaise F-Secure dédiée à la cybersécurité et à la protection de la vie privée[xiv], ce danger est tout-à-fait concevable. Néanmoins, il ajoute qu’une telle menace n’est pas encore à l’ordre du jour, puisque le machine learning est pour l’instant exclusivement utilisé par les « gentils ». Selon lui, ceci s’explique par la forte demande de spécialistes en cybersécurité par les entreprises, car les individus compétents ne ressentent par conséquent pas le besoin de se tourner vers la cybercriminalité[xv].

[i] http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf

[ii] http://cdre.eu/73-documentation-en-ligne/justice/documents/795-communication-de-la-commission-europeenne-du-22-mai-2007-vers-une-politique-generale-en-matiere-de-lutte-contre-la-cybercriminalite

[iii] http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_fr.pdf

[iv] https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures

[v] http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_explanatoryreport_/7_explanatoryreport_fr.pdf

[vi] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32002L0058

[vii] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016L1148

[viii] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[ix] https://www.securiteinfo.com/legal/loi88-19.shtml

[x] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164

[xi] http://www.cio-online.com/actualites/lire-les-5-chiffres-cles-sur-la-cybersecurite-en-2017-9841.html

[xii] https://www.ledroit.com/affaires/lintelligence-artificielle-devancerait-les-pirates-5fc5d665c7c60278679feb041f5a89b0

[xiii] https://blog.avast.com/fr/comment-lintelligence-artificielle-prend-de-vitesse-les-cybercriminels

[xiv] https://www.f-secure.com/fr_FR/f-secure

[xv] https://www.usine-digitale.fr/article/pour-le-moment-le-machine-learning-n-est-utilise-que-par-les-gentils-mais-il-y-a-un-vrai-risque-mikko-hypponen-f-secure.N617698

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s