« On s’imagine trop de scénarios sur l’IA, alors qu’il existe des menaces concrètes » selon l’expert Mikko Hyppönen

L’intelligence artificielle est-elle dangereuse ? Oui, mais pas de panique. L’IA est devenue un sujet quotidien pour les médias et nourrit de nombreux fantasmes pour le grand public comme pour les entreprises, sans que l’on comprenne encore concrètement de quoi elle est capable.

« Il n’y a pas un million d’exemples, mais des cas concrets que j’ai notés, des tests lancés par des cybercriminels ou des acteurs malveillants », constate Mikko Hyppönen. « Mikko », directeur de la recherche chez WithSecure, est une référence mondiale dans le milieu de la cyber, connu pour ses nombreuses recherches sur les premières menaces d’internet. Il nous décrit les dérives actuelles de l’IA et comment ces outils sont amenés à être détournés.

Numerama : L’IA sature les journaux et excite toutes les grandes entreprises. Est-ce qu’on s’emballe un peu vite autour de l’intelligence artificielle ?

Mikko Hyppönen : Je me rappelle des premiers sites web en « .com » dans les années 1990. L’attente pour le développement de l’internet était énorme, on ne parlait plus que de ça, et ce n’est pas arrivé aussi vite que prévu. Une bulle a explosé entre-temps. Beaucoup de progrès que nous avions imaginé ont débarqué deux décennies plus tard.

J’ai l’impression d’assister au même scénario, je vois la valeur en bourse de grands groupes qui montent en flèche, des startups sur lesquelles tout le monde mise, mais je pense que les réelles avancées technologiques prendront plus de temps à se concrétiser.

Numerama : L’IA inquiète le grand public, 70 % des Français considèrent l’intelligence artificielle comme une menace pour les humains dans leur ensemble (sondage de l’institut Odoxa, réalisé pour Oracle). Est-ce qu’il y a une incompréhension sur les réelles menaces ?

Mikko Hyppönen : La population en général ne s’intéresse pas à la cybersécurité. Leur crainte de l’IA provient généralement de scénarios de science-fiction, des intrigues de film où un programme s’émancipe et devient malveillant pour se retourner contre l’humanité. Cette hypothèse ne m’inquiète pas pour l’instant et je ne pense pas du tout qu’il y ait un tel risque dans un avenir proche.

Il y a en revanche des cas concrets que l’on commence à rencontrer et qui nous donnent une idée de ce que l’on devra affronter plus tard à grande échelle. Un exemple : le cadre d’une société finlandaise de logiciel a récemment reçu un message vocal de son PDG pour un projet d’achat d’une entreprise. Le patron en question n’a jamais envoyé cette « voice note ». Quelqu’un a copié sa voix pour tromper l’employé. On ne parle pas ici d’une banque ou d’une société d’investissement, mais d’une entreprise en Finlande spécialisée dans le logiciel.

Les « deepfakes », les « deepscams » sont des sujets qui m’inquiètent plus pour l’avenir. Un acteur malveillant pourrait générer de fausses annonces sur Airbnb, avec des bots qui répondent automatiquement aux intéressés. Une arnaque qui serait contrôlée sur toute la chaîne par l’IA.

Numerama : Dans ce cas, est-ce qu’il faut réfléchir à une régulation de ces nouvelles entreprises stars de l’intelligence artificielle ?

Mikko Hyppönen : Elles doivent d’abord réfléchir un auto-contrôle. Je suis un grand fan de « l’open source » et j’ai travaillé sur les premiers systèmes d’exploitation Linux à Helsinki, mais les programmes d’IA ne devraient pas être disponibles pour tous. Il n’y a qu’à voir la récente vague d’images pornographiques.

OpenAI, la maison mère de ChatGPT, a arrêté de publier son programme en source ouverte. Le chatbot n’est pas téléchargeable et si vous lui demandez trop de requêtes illicites, il peut finir par vous bloquer. LLaMA, le programme développé par Meta (maison mère de Facebook, Instagram, WhatsApp) est en accès libre et peut être téléchargé. On offre donc des programmes d’IA qui pourront générer du script malveillant, des fausses informations et beaucoup de dérivés illicites à n’importe qui, y compris à des États. On a déjà constaté quelques cas d’images générées par IA avec un impact sur les cours de bourse, sans que l’on connaisse l’acteur derrière.

Numerama : Un consortium de journalistes d’investigation a révélé l’existence d’un programme russe nommé Vulkan qui parcourt le web à la recherche de vulnérabilités. Faut-il imaginer un système identique généré par IA qui cherchera automatiquement des vulnérabilités « zéro-day » (des failles non repérées) ?

Mikko Hyppönen : Votre question me fait peur, mais il faut en effet envisager ce scénario. Il n’y a pour l’instant pas de cas répertoriés de failles zéro-day exploitées par un programme IA. Les entreprises seront probablement les premières à utiliser de tels logiciels pour scanner leur réseau pour trouver des vulnérabilités qu’elles n’avaient pas imaginées au début. Une fois que les grands groupes auront développé les outils nécessaires, les États suivront.

Numerama : Qu’en est-il du cybercrime ? Est-ce que lui aussi finira par utiliser l’IA ?

Mikko Hyppönen : L’industrie de la cybersécurité a pour l’instant une énorme avance sur eux. WithSecure a commencé à automatiser ses logiciels en 2005. Même s’il y a toujours des erreurs (humaines), nous sommes plus rapides et supérieurs à un acteur malveillant que ce que nous croyons.

Lorsqu’un logiciel détecte une menace, il bloque rapidement des adresses IP, des accès au serveur, et verrouille rapidement toutes les potentielles portes d’entrée. Le cybercriminel fait encore beaucoup de choses manuellement et doit s’y prendre discrètement. C’est donc pour l’instant un jeu d’humain versus machine.

Une fois que le monde du cybercrime aura mis à jour les malware pour y intégrer de l’IA, ce sera un autre défi. On assistera à l’affrontement de deux IA, la bonne contre la mauvaise.

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !