Quand les pirates s’attaquent à l’IA

Dès qu’une innovation voit le jour, surtout dans le domaine de l’informatique, quelqu’un quelque part tentera de la détourner. L’intelligence artificielle (IA) n’échappe pas à cette règle, car déjà plusieurs chercheurs et experts en sécurité se penchent sur les possibles attaques qui peuvent être menées contre celle-ci.

Il est minuit moins une selon certains spécialistes dans le domaine de la cybersécurité chez la firme israélienne de recherche en IA, Adversa.

« L’industrie de l’IA est terriblement mal préparée aux attaques du monde réel » – La société en recherche sur l’IA, Adversa

Un récent rapport publié par cette dernière révèle que presque tous les algorithmes d’IA sont vulnérables en ce qui concerne les enjeux de vie privée et de sécurité informatique.

Le document est basé sur l’analyse de plus de 2000 travaux de recherche publiés durant les dix dernières années et il indique que cette tendance ne fait que commencer.

Chez Adversa, on s’attend à une montée exponentielle des offensives contre les modèles d’IA.

Bienvenue dans le monde inquiétant de l’apprentissage automatique adverse (NDR : de l’anglais Adversarial machine learning).

LES DONNÉES EMPOISONNÉES

Mais quelle est cette nouvelle menace et en quoi consiste-t-elle?

Comme les pourriciels plus traditionnels (virus, vers, chevaux de Troie), il existe plusieurs formes d’attaques qui peuvent être menées contre les algorithmes.

« L’objectif pour l’attaquant c’est de détourner l’apprentissage automatique » – Frédéric Cuppens, professeur titulaire à Polytechnique Montréal.

Pour ce faire, les attaquants procèdent à ce qu’on appelle du « data poisoning », soit l’injection de données fausses ou déroutantes dans un système afin d’en transformer le fonctionnement.

En effet, des études ont déjà démontré qu’il suffisait d’injecter dans les données d’entraînement d’un réseau de neurones des déclencheurs (NDLR :triggers) spécifiques pour confondre l’algorithme.

Ainsi, on peut faire croire à une IA entraînée à reconnaître la signalisation routière qu’un panneau d’arrêt est plutôt un panneau de limite de vitesse grâce à un petit autocollant appliqué sur la signalisation.

Frédéric Cuppens, professeur titulaire à Polytechnique Montréal, décrit trois grandes approches pour mener des détournements.

La première vise à inonder un système d’apprentissage pour complètement fausser son apprentissage. « C’est ce qu’on trouve notamment dans les « chatbots » (NDLR : agents conversationnels). Comme le système apprend au fur et à mesure des échanges qui se font avec les utilisateurs, ces derniers arrivent à détourner le chatbot pour lui faire avoir, par exemple, un comportement raciste »

La deuxième approche tient plutôt de l’évasion. Un individu qui aurait des connaissances sur un système d’apprentissage machine pour faire de la surveillance pourrait avoir un comportement malveillant qui ne serait pas détecté.

Enfin, il existe la méthode d’apprentissage automatique adverse, qui consiste à injecter des données très bien choisies dans un modèle, de manière à changer la classification de celles-ci.

Dans ce type de cas, l’attaquant pourrait faire en sorte qu’un comportement malveillant soit au bout du compte classé comme un comportement normal par le système.

Certains arnaqueurs utilisent cette stratégie pour déjouer les systèmes antipourriels.

En indiquant au fournisseur de courriel qu’un grand nombre de pourriels sont en fait légitimes, ces pirates parviennent à prévenir leur détection par l’algorithme.

UNE MENACE SURVEILLÉE DE PRÈS

Que ce soit dans le secteur industriel ou au gouvernement, les risques d’attaques contre les algorithmes préoccupent les hauts placés.

« Ça fait partie des choses que l’on surveille. Toute menace de cybersécurité c’est quelque chose que l’on prend très au sérieux, autant dans l’industrie que du côté de la recherche universitaire », souligne François Couderc, responsable du développement commercial – sécurité et cybersécurité, chez Thales.

Par souci de ne pas révéler les stratégies de sécurité, celui-ci ne peut donner le détail des mesures qui sont adoptées chez Thalès pour contre le data poisoning et les méthodes adverses.

Cependant, celui-ci confirme qu’on se concentre sur la donnée. Celles-ci sont constamment validées pour détecter par exemple, toutes formes de biais, intentionnelles ou non.

« Ce n’est pas n’importe quel individu qui serait en mesure de mener ce genre d’attaque. On parle d’acteurs sponsorisés par les États ainsi que les organisations criminelles. On écarte généralement les scriptes kiddies (NDLR :pirates informatiques néophytes). Ça prend beaucoup d’organisation, parce qu’il faut modifier un large volume de données » -François Couderc, responsable du développement commercial – sécurité et cybersécurité, chez Thales

Du côté de l’État, le Centre de la sécurité des télécommunications explique que sa stratégie consiste surtout à encourager les bonnes habitudes de cybersécurité, mais qu’elle ne concerne pas exclusivement l’IA.

« Est-ce qu’on a des recommandations en matière de cybersécurité qui visent explicitement l’IA : à ce point-ci, je crois que la réponse est « non ». Cependant, le data poisoning implique que l’attaquant puisse corrompre ta base de données. Pour arriver à ses fins, ce dernier doit exploiter une faille dans ton réseau », affirme Martin Fontaine, directeur général  de la recherche au Centre de la Sécurité des Télécommunications.

L’organisme qui est responsable d’informer les divers paliers du gouvernement, les responsables des infrastructures critiques au pays et les membres de l’industrie à propos des diverses cybermenaces; celui-ci a identifié une liste de 10 mesures à prendre pour protéger les réseaux Internet et l’information.

COMMENT PRÉVENIR

« Pour que l’attaquant puisse empoisonner le système, il faut qu’il ait une connaissance de l’IA qui est utilisé, il faut qu’il sache quel genre d’algorithme est employé. Donc, soit il s’agit d’un attaquant interne, soit il doit passer par les vecteurs d’attaque normaux pour pouvoir se trouver à l’intérieur du système et injecter les fausses informations », insiste Nora Boulahia Cuppens, professeure titulaire à Polytechnique Montréal.

Ainsi, pour se défendre contre ce type d’attaques, il est judicieux de renforcer la sécurité informatique traditionnelle, incluant les accès aux connexions internet, la protection des mots de passe et la détection d’hameçonnage par courriels.

« La meilleure défense, c’est l’attaque »– Frédéric Cuppens, professeur titulaire à Polytechnique Montréal.

« Il s’agit de faire de la dissuasion côté défense pour leurrer l’attaquant à cibler des « honeypots » (NDLR : de l’anglais, littéralement pots de miel) », souligne M. Cuppens.

Ce sont des réseaux mis en place pour paraître comme des accès à des modèles d’IA, et qui sont parfois même augmentés avec des algorithmes d’IA, mais qui sont en fait des pièges.

« Bientôt, le jeu sera intelligence artificielle contre intelligence artificielle. On anticipe un peu, mais les conflits futurs ça sera sans doute des IA qui vont s’affronter », prédit le professeur à Polytechnique.

Crédit photo: Pexels/Anete Lusina