Résumé

Bien au-delà de la pensée née des doctrines sécuritaires et militaires traditionnelles, nous nous trouvons confrontés à de nouveaux défis de sécurité humaine et politique. Ce qui compte, outre la conquête de nouveaux territoires, c’est de gagner les données, la confiance, le cœur et l’esprit des citoyens d'un pays.

Depuis plus de dix ans des pouvoirs étrangers malveillants ciblent l’infrastructure qui sous- tend les sociétés démocratiques. Ils piratent l’Internet, les médias et même les bases de données électorales pour semer la confusion, l’insatisfaction et la méfiance. Du référendum de 2016 sur le Brexit aux primaires et à l’élection présidentielle américaine, cette même année, puis à l’élection présidentielle de 2017 en France, des ingérences étrangères ont systématiquement cherché à fausser le débat démocratique.

« Une typologie émergente des cyberattaques pourrait tirer parti de l’IA antagoniste pour manipuler l'intégrité des données et du logiciel utilisés dans le processus électoral.

Des acteurs étatiques ou non profitent déjà de la convergence de l’intelligence artificielle (IA) et des cybercapacités pour manipuler l’information, éroder la confiance, s’immiscer dans les rouages politiques internes d’autres États ou paralyser l’infrastructure essentielle à la sécurité nationale et humaine¹.

Cette convergence technologique s’accompagne d’implications antagonistes, sociales et même stratégiques non négligeables. Ainsi, l’exploitation de systèmes d’IA pourrait amplifier considérablement la nature, l’envergure et l’intensité des cyberattaques lancées contre l'infrastructure électorale fondamentale des États membres.

Une typologie émergente des cyberattaques pourrait tirer parti de l’IA antagoniste pour manipuler l'intégrité des données et du logiciel utilisés dans le processus électoral. Ces attaques maîtrisent déjà les techniques qui leur permettent d’échapper à la détection, de cibler les vulnérabilités humaines par une ingénierie sociale de précision et, en fin de compte, d'impacter la cybersécurité et la sécurité informatique. Comme le souligne David Schwed, directeur fondateur et professeur du programme de maîtrise en cybersécurité à la faculté Katz de l’Université Yeshiva : « L'intelligence artificielle va assumer un rôle plus important dans l’arsenal des acteurs malveillants. Ils seront à même de lancer des attaques autonomes illimitées avec un besoin réduit d'intelligence humaine. »

Les États devront apprendre à vivre sous cette menace de cyberattaques électorales, tout comme ils apprennent aujourd'hui à saisir la nature et la portée mouvantes du cyberconflit de faible intensité. Le souci principal sera que, renforcées par l’IA et la cyberinterconnexion grandissante, ces menaces à la sécurité des élections se feront plus complexes et plus difficiles à prévenir et à détecter. Elles cibleront l’infrastructure informatique nationale, au préjudice de l’intégrité des données de sécurité et biométriques civiles sensibles. Des détecteurs personnels aux éléments d'infrastructures critiques –, le déploiement de la 5G va accélérer le traitement IA au périphérique. Les occasions et le pouvoir destructeur de cyberattaques électorales sophistiquées s’en multiplieront d’autant.

« Renforcées par l’IA et la cyberinterconnexion grandissante, ces menaces à la sécurité des élections se feront plus complexes et plus difficiles à prévenir et à détecter. »

Ce dossier technique et de politique se penche sur les défis associés à l’IA et aux cybertechnologies et sur la manière dont ils sont abordés dans les stratégies plus larges de soutien des élections² – celles de l’IFES³ et des États membres de l’UE notamment⁴. Il explore en particulier la vulnérabilité grandissante des outils numériques servant à administrer et soutenir les processus électoraux face aux maliciels et aux cyberattaques sous intelligence artificielle, indiquant la nécessité de nouvelles approches qui puissent assurer la sécurité et la résilience de l’infrastructure des scrutins. L’aptitude de logiciels malveillants autonomes à améliorer leurs propres stratégies et à lancer des contre-attaques de plus en plus précises et agressives à chaque itération ne peut conduire qu’à l’expansion et à l’augmentation des capacités de cyberattaques existantes. L’automatisation de cyberattaques aptes à manipuler et à altérer l’intégrité de l'information cruciale d'une infrastructure électorale est une menace grandissante amorcée par la convergence technologique. En définissant le paysage changeant de la menace, ce rapport dissèque le cycle électoral et son infrastructure pour identifier les points d’accès des vecteurs d’attaque « cyber-IA » convergents, détecter les cibles de données et les vulnérabilités afférentes et proposer les recommandations qui s’en dégagent.

Dans le sillon de quelques rapports décisifs⁵, l’auteur choisit de prendre appui sur une perspective unique qui aborde le cycle électoral et son infrastructure, d’abord, comme un jeu de systèmes socio-techniques complexes et, ensuite, comme un ensemble de processus basés sur les données. Il s’agit d'une approche holistique et stratégique, qui permet d’anticiper, de recadrer et de mieux comprendre les types émergents de vulnérabilités que l’IA saura de mieux en mieux cibler au sein des infrastructures de données et des processus d'optimisation liés à la conduite des élections. Moins que de discuter principalement du niveau de numérisation des étapes discrètes d’un processus électoral, nous sommes d’avis qu'il importe davantage d’anticiper les menaces qui pèsent sur l’intégrité des données dans le cycle de vie informatique complet de ce processus.

La manipulation de l’intégrité des données est une nouvelle tactique hyperpuissante aux mains de ceux qui cherchent à semer le mensonge et la méfiance dans des systèmes socio-techniques vitaux. Les élections – à l'image d’autres infrastructures sanitaires et de secours d’urgence essentielles axées sur les données – sont vulnérables aux techniques émergentes de manipulation et d’empoisonnement des données⁶. Et, tout comme la confiance dans les services de santé et la gestion des catastrophes, la confiance dans le processus électoral est au cœur de notre contrat social ; plus encore, elle est le fondement même de nos démocraties.

« L’automatisation de cyberattaques aptes à manipuler et à altérer l’intégrité de l'information cruciale d'une infrastructure électorale est une menace grandissante amorcée par la convergence technologique. »

Dans le contexte de la sécurité électorale, où la confiance doit impérativement être renforcée, l’avènement de l’IA présente un changement épistémique aussi bien que technologique. Les techniques de l’IA promettent de nous aider à produire, analyser, affirmer et vérifier un ensemble complexe de connaissances. Elles pourraient pourtant aussi compromettre l’intégrité et la crédibilité de nos systèmes de renseignement et d'information mondiaux⁷.

La première partie de ce rapport retrace les tendances et la recherche récentes dans le domaine de la cybersécurité de la technologie électorale. Elle présente un diagnostic initial de la façon dont les approches traditionnelles⁸ de la cybersécurité électorale doivent s’adapter à la convergence des techniques « cyber-IA ». La deuxième partie présente un paradigme de convergence de l’IA et explique comment ce paradigme produit un arsenal de cyberattaques par IA capables de cibler et de manipuler l'intégrité des données. La troisième partie propose une matrice générale de cycle électoral et de son infrastructure et y analyse le paysage des menaces convergentes et des vulnérabilités, les vecteurs d’attaque, les cibles de données et leurs implications. En conclusion, la quatrième partie offre des recommandations, en particulier des réflexions sur les besoins et méthodes d’évaluation de la menace antagoniste, tout en se penchant aussi sur le rôle et les responsabilités de divers intervenants.

1 Forbes, 2019. « 141 Cybersecurity Predictions for 2020. » https://www.forbes.com/sites/gilpress/2019/12/03/141- cybersecurity- predictions-for-2020/

2  Ce rapport repose sur des ressources primaires aussi bien que secondaires, selon une approche méthodologique mixte de recherche documentaire qualitative, d’examens de la littérature, d’analyses des politiques, d’entretiens et de consultations d’experts, ainsi que de méthodes prospectives (analyse d’impact des signaux, des moteurs et des tendances ). La liste des ressources primaires et secondaires est jointe en annexe.

3  International Foundation for Election Security (IFES), 2018. « Cybersecurity in Elections. » https://www.ifes.org/sites/default/files/2018_heat_cybersecurity_in_elections.pdf

4  NIS Cooperation Group, 2018. « Compendium on Cyber Security of Election Technology. » https://www.ria.ee/sites/default/files/content- editors/kuberturve/cyber_security_of_election_technology.pdf

5  NIS Cooperation Group, 2018.; IFES, 2018.; Herpig S., et al, 2018. « Securing Democracy in Cyberspace. » https://www.stiftung- nv.de/sites/default/files/securing_democracy_in_cyberspace.pdf

6  L’empoisonnement des données est une forme d’attaque antagoniste qui cherche à manipuler les données d’entraînement de façon à contrôler le comportement de prédiction d'un modèle algorithmique pour qu’il classe des exemples malveillants dans une catégorie désirée (en identifiant par exemple du pourriel comme sûr). Les attaques d’empoisonnement peuvent dès lors corrompre le processus d’apprentissage machine et/ou dégrader le fonctionnement du système.

7 Pauwels E., 2019. « The New Geopolitics of Converging Risks. » https://collections.unu.edu/eserv/UNU:7308/PauwelsAIGeopolitics.pdf

8 Dans le contexte de ce dossier technique et de politique sur l’IA et la cybersécurité, le terme « patrimonial » décrit une approche ou un système traditionnel ancien (« hérité ») mais qui sert toujours de référence car il serait trop difficile de le remplacer. Les connaissances et les prévisions nécessaires à la mise à jour et au remplacement de cette approche
« patrimoniale » ne sont encore ni acquises, ni réalisées.