Immersions à haut risques dans la fausse-vraie réalité du monde

matrix reloaded By: phsymyst - CC BY 2.0

En cybersécurité, on assiste à une montée en puissance et en complexité des architectures de données fictives immersives (ADFI) élaborées pour tromper une cible au sein d’une entreprise ou d’une administration.

Par Thierry Berthier.
Un article de The Conversation

Avez-vous vu Un Monde sur le fil ? Ce film, adapté au cinéma par Rainer Werner Fassbinder et diffusé à la télévision en 1973 sous ce titre est tiré d’un roman de science-fiction écrit il y a plus d’un demi-siècle, Simulacron 3. Le film est fondateur : il décrit, bien avant la trilogie des films Matrix, une succession de mondes simulés par le calcul dans lesquels les entités interagissent entre elles, vivent comme des humains sans avoir conscience de leur statut de simulacre numérique.

Le supercalculateur de « l’Institut de cybernétique et des sciences à venir » engendre un monde artificiel de dix mille entités humaines évoluant dans un environnement a priori indiscernable du monde réel. Des ponts informationnels existent cependant entre les deux environnements. Ceux-ci vont finir par révéler que le monde réel est simulé et qu’il existe une chaîne d’environnements simulés qui relativise le concept de réalité.

Existe-t-il alors un monde qui ne soit pas l’objet d’un calcul de simulation ? Avec son esthétique du début des années 1970, Un monde sur le fil nous dit tout ou presque sur ce que l’on appelle aujourd’hui les environnements fictifs hautement immersifs (EFHI). Ils commenceront à apparaître cinquante années plus tard, maintenant, grâce notamment à la montée en puissance de l’intelligence artificielle.

Environnement fictifs hautement immersifs

Idéalement, un EFHI est un système physique fermé dans lequel un individu interagit avec un dispositif technique embarquant de l’intelligence artificielle et qui doit se faire « oublier » de l’utilisateur tout en recréant au mieux les conditions réelles. Moteur des EFHI, l’intelligence artificielle dirige la simulation en s’adaptant aux réactions de l’expérimentateur via des processus d’apprentissage. Elle garantit le niveau de réalisme des scénarios mis en œuvre et la non-contradiction des informations diffusées lors de la simulation.

Si les EFHI actuelles ne nous font pas encore douter de notre réalité physique, cela pourrait venir bientôt : des architectures d’environnements fictifs partiellement immersives émergent des travaux de recherche. Elles apparaissent encore sous des formes rudimentaires : réalité augmentée, casques de type Oculus Rift, chambre de simulation récréant au plus près un contexte réel en température, pression, hygrométrie, luminosité, simulations et augmentations olfactives, sonores, visuelles et dynamiques. De plus en plus, ces dispositifs se sophistiquent. Ils mobilisent les cinq sens humains (l’ouïe, l’odorat, le goût, le toucher et la vue) pour renforcer leur caractère immersif.

Les exemples d’utilisation d’environnements immersifs simulés se multiplient, dans un large spectre d’applications. Par exemple, avant de choisir son voyage de noces, un couple viendra bientôt passer une heure dans un simulateur du voyagiste qui lui fera découvrir « au plus près » plusieurs options de voyage en mode hyper-immersif associant la vidéo 360 degrés, le mouvement, les odeurs. Plus crucial, l’entraînement au pilotage ou au combat dans un contexte militaire. Il s’appuie déjà sur des plates-formes de simulation qui reflètent de plus en plus fidèlement le terrain.

Plusieurs programmes de recherche dirigés par la DARPA (l’agence d’innovation de l’armée américaine) ont permis de développer des démonstrateurs hautement immersifs pour l’entraînement des unités combattantes. L’objectif premier est de faire oublier au soldat qu’il s’entraîne sur un simulateur en recréant artificiellement des niveaux de stress, de fatigue, de conditions météo défavorables et de saturation informationnelle compatibles avec ce qu’il rencontrera sur le champ de bataille. Le haut degré d’immersion permet de mettre en condition le soldat, de le former et de mesurer ses aptitudes au combat tout en expérimentant de nouveaux équipements. Plus aucun personnel américain ne sera engagé sur un champ de bataille sans être passé par l’étape préalable de la simulation immersive.

Simulation de combat aérien assistée par IA.
Auteur, Author provided

Tous les secteurs sont concernés. Les futures missions d’exploration de la planète Mars, par exemple, s’appuieront sur des tests et simulations de vie longue durée en environnements fictifs hautement immersifs. Des simulations de ce type ont déjà eu lieu au sein de la station antarctique Concordia. Dans le secteur de la santé également, le traitement de certaines pathologies mentales ou phobies pourra intégrer des passages en EFHI dans le protocole de soins, tout comme les processus RH de recrutement afin de tester les candidats à un poste en environnement simulé.

Le côté obscur de la force

Par nature, les environnements fictifs hautement immersifs peuvent être utilisés pour leurrer un individu et l’amener à effectuer des actions contre son propre intérêt. En cybersécurité, on assiste à une montée en puissance et en complexité des architectures de données fictives immersives (ADFI) élaborées pour tromper une cible au sein d’une entreprise ou d’une administration. Les ADFI constituent alors la première composante de l’EFHI. Des cyberattaques à fort impact sont construites sur des projections algorithmiques fictives.

Un exemple d’ADFI rudimentaire : l’illusion d’optique.
Auteur, Author provided

Si le simple mail de phishing usurpant l’identité d’une autorité a longtemps permis aux attaquants d’obtenir, à peu de frais, des accès (identifiants, mot de passe) au sein de systèmes d’informations sécurisés, il ne suffit plus aujourd’hui pour tromper efficacement des cibles qui ont été sensibilisées à ce risque. L’attaquant doit faire évoluer son protocole d’entrée en s’appuyant sur de l’ingénierie sociale de haut niveau, ce qui lui demande des moyens, de l’intelligence et du temps. Son objectif demeure inchangé : par la ruse et la tromperie, il cherche à exploiter l’ensemble des biais cognitifs et des vulnérabilités psychologiques de sa cible. Une fois la confiance installée, il l’amènera à cliquer sur un lien malveillant ou à ouvrir une pièce jointe contenant un malware qui se diffusera dans le système. Il pourra également chercher à convaincre sa cible d’effectuer un virement bancaire frauduleux à son profit.

L’usurpation d’identité d’une autorité ou d’une entité de confiance reste un moyen très efficace pour manipuler un responsable de la comptabilité d’une entreprise, quelle que soit sa taille. Les dernières campagnes d’arnaques au président, d’attaques aux faux ordres de virements (FOVI), aux faux fournisseurs, aux faux supports techniques ou au faux changement de RIB ont montré qu’aucune organisation n’est à l’abri de ce type d’opérations dont le préjudice (mondial) a dépassé les 10 milliards de dollars en 2018. Les ADFI mises en œuvre durant ces attaques associaient de faux sites web imitant un site légitime, de faux profils sur les réseaux sociaux, des communications téléphoniques, des envois de faux documents maintenant une cohérence globale et une crédibilité du scénario déroulé.

Fausses-vraies vidéos

L’intelligence artificielle permet désormais de décupler ces capacités de persuasion en déployant de « fausses-vraies vidéos » imitant à la perfection la voix et les mouvements de lèvres de n’importe quel individu. Des vidéos de faux discours de Barack Obama et de Donald Trump ont circulé en 2017 et 2018 montrant qu’il est désormais possible de diffuser des infox dans la bouche même du Président des États-Unis. Il est certain que les groupes de cybercriminalité vont mettre à profit cette technique. Ils pourront par exemple envoyer au service de la comptabilité de l’entreprise ciblée une vidéo du PDG de cette société pour lui faire ordonner un virement de 200 000 euros à effectuer en urgence sur un compte frauduleux.

En s’appuyant sur l’IA génératrice de faux crédible et immersif, il devient possible d’envisager des opérations sophistiquées, furtives, déployées dans le temps. Les ADFI mises en œuvre demeureront indétectables par un opérateur humain. Seule l’IA sera en mesure de déterminer une probabilité de véracité d’une architecture numérique donnée. C’est d’ailleurs l’un des paradoxes de l’IA qui servira en défense comme en attaque et qui fera monter le niveau de complexité des attaques…

Enfin, l’usage militaire des ADFI offre de nouvelles potentialités d’actions pour les opérations de guerre de l’information, de manipulation, de pot de miel et de déception des systèmes adverses. Les cibles seront à la fois les personnels confrontés aux ADFI et les systèmes d’aide à la décision ennemis que l’on cherchera à tromper selon un art de la guerre 2.0. finalement très proche de celui de Sun Tsu.

Thierry Berthier, Maître de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de Limoges

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.

The Conversation