Le Récap’ du 20 juillet : #ProjetPegasus, #TensionsAuW3C, #ImpactAlgorithmique, #IA&EmpreinteCarbone, #Rançongiciel&Géopolitique

#ProjetPegasus

Il y a quelques jours, la plateforme Forbidden Stories et Amnesty International ont partagé au journal Le Monde et à 16 autres rédactions internationales un annuaire contenant 50 000 numéros de téléphone de personnes ciblées par un système d’espionnage. Parmi ces cibles, on trouve des responsables politiques (deux chefs de gouvernement européens, des députés d’opposition de plusieurs pays), des journalistes, des avocats, ou encore des militants des droits de l’homme. Au cœur de ce système, il y a Pegasus, un logiciel espion israélien développé par l’entreprise NSO, et ayant pour vocation de lutter contre le terrorisme et le grand banditisme. Une analyse poussée des données recueillies par cet outil, réalisée par un consortium mené par Forbidden Stories et les experts en sécurité d’Amnesty International, confirme les accusations à l’encontre de NSO. La prévention du terrorisme et la lutte contre le crime organisé constitueraient en réalité une infime partie des usages de Pegasus. La norme d’utilisation du logiciel se situe plutôt du côté de la surveillance politique, entraînant d’importantes violations des données personnelles de membres de la société civile, ce qui constitue une violation des droits de l’homme. Le gouvernement israélien se trouve au cœur de ces révélations, chaque vente du logiciel à un État ayant requis l’accord de son ministère de la Défense. En outre, Pegasus a notamment permis à l’État d’Israël de restaurer ses relations diplomatiques avec certains pays comme l’Arabie Saoudite et le Maroc. Outre les répercussions immédiates que ces révélations entraînent en matière de violation des données personnelles, ces dernières interrogent la législation internationale en matière d’encadrement des ventes d’armes informatiques. Une question d’autant plus préoccupante dans le cadre de Pegasus, qui va au-delà d’un simple dispositif d’écoute téléphonique et permet d’aspirer l’ensemble des données contenues dans un téléphone. La société civile ayant été visée, il ne s’agit par ailleurs pas d’une simple affaire d’espionnage entre États. Cette semaine, dans une rubrique dédiée d’une dizaine d’articles, Le Monde revient sur ces révélations et leurs conséquences. (Lire l’article)

#TensionsAuW3C

En janvier 2020, Google exprimait son ambition de se débarrasser de la présence des cookies tiers (les données utilisateurs récoltées sur les sites web non par l’opérateur mais par des entités tierces) sur son navigateur Chrome, provoquant alors un séisme pour les entreprises dont le business model repose sur le traçage et l’utilisation de ces données. D’aucuns accusent ainsi le géant du numérique de vouloir conforter sa position dominante sur internet sous couvert de lutte pour le renforcement de la protection de la vie privée de ses utilisateurs. S’il y a bien une institution au sein de laquelle le débat prend une ampleur particulière, c’est le World Wide Web Consortium (W3C). Fondé par des acteurs clefs d’internet soucieux de construire un dialogue visant à bâtir un web sûr et ouvert à tous, l’esprit collaboratif du groupe est cependant mis à mal par le débat sur la protection de la vie privée des usagers d’internet. Les opposants aux nouvelles normes promues par les moteurs de recherche pour une utilisation limitée des données, affirment se positionner en défenseurs du web contre les tentatives d’appropriation par les géants du numériques. De leur côté, certains ingénieurs et avocats membres du consortium et spécialistes de la vie privée ne sont pas convaincus par ce combat, et accusent ces opposants de défendre uniquement leurs intérêts commerciaux en jouant sur les peurs concernant le pouvoir des Big Tech. Certains membres historiques du W3C craignent alors que cette situation entraîne un dysfonctionnement du consortium et que les affrontements qui s’expriment en son sein envoient un signal négatif aux usagers du web sur la question de la vie privée. (Lire l’article)

#ImpactAlgorithmique

Le 5 juillet dernier, est paru à la demande d’Etalab (le département de la Direction interministérielle du numérique chargé de la conception et de la mise en œuvre de la stratégie de l’État dans le domaine des données), un rapport présentant un état des lieux des différents systèmes d’évaluation d’impact algorithmique (EIA) existant à l’international. Le rôle croissant des algorithmes dans la sphère publique a en effet induit la mise en place de tels dispositifs afin d’étudier les potentiels effets négatifs des algorithmes sur la population. Dans ce contexte, la France s’est dotée d’un cadre juridique qui favorise la transparence des systèmes algorithmiques. C’est en vue de dégager des bonnes pratiques et des retours d’expérience constructifs en la matière que cette étude a été menée. À cet effet, les outils d’évaluation d’impact algorithmique mis en place par divers pays (le Royaume-Uni, le Canada, les États-Unis et la Nouvelle-Zélande) ainsi que par l’Union européenne (UE), ont été analysés et comparés par les auteurs du rapport. Le fait marquant est avant tout la diversité des outils employés et l’absence de modèle type. Ainsi, l’AI Now Institute (États-Unis) propose cinq éléments clés visant à définir un cadre optimal pour réaliser des EIA. De son côté, le Groupe d’experts de haut niveau en IA de l’UE a publié une liste de questions permettant l’autoévaluation des systèmes algorithmiques. Quant au gouvernement néozélandais, il a intégré à sa “Charte sur les algorithmes” une matrice de risques pour quantifier la probabilité d’occurrence d’effets indésirables sur les individus. Si les méthodologies divergent, les objets d’études sont eux aussi différenciés. Si certaines EIA se concentrent sur les éventuels impacts sociaux des algorithmes, d’autres ont pour objet les éventuels impacts sur les droits fondamentaux des citoyens. D’après le rapport, des questions afférentes à la compréhension des outils par les acteurs qui s’en servent et liées à la question de l’auto-arbitrage doivent cependant être résolues avant que les différents outils d’évaluation d’impact ne puissent faire effectivement leurs preuves. Les auteurs évoquent des pistes à cet égard, notamment rendre transparentes et publiques ces évaluations et impliquer des tiers dans leur réalisation. (Lire l’article)

#IA&EmpreinteCarbone

Selon une étude du cabinet Allied Market Research, le marché de l’intelligence artificielle (IA) dans l’aérospatial représentera près de 5,82 milliards de dollars en 2028. Si l’IA peut permettre, entre autres, de limiter l’impact des trajets aériens sur l’environnement, son utilisation dans ce secteur n’en reste pas moins à double tranchant. Ainsi, Alaska Airlines ambitionne de devenir d’ici cinq ans la compagnie aérienne la plus économe en carburant et d’atteindre la neutralité carbone d’ici à 2040. En partenariat avec la société technologique Flyways (qui analyse un grand nombre de données en temps réel, comme la météo, les caractéristiques physiques des avions, ou encore la réglementation aérienne), la compagnie américaine a mis au point une IA fondée sur le machine learning permettant d’élaborer des itinéraires de vol optimisés pour réduire les émissions de gaz à effet de serre. Durant sa période d’essai, cette solution a permis d’éviter la production de 4 600 tonnes de carbone. L’IA pourrait-elle alors devenir une nouvelle arme écologique dans l’industrie aérienne ? Pour l’heure, elle est principalement employée dans trois grands domaines par le secteur : l’état des lieux de l’impact environnemental des compagnies aériennes, l’intégration de la lutte contre le changement climatique dans les décisions opérationnelles, et la conception d’avions plus verts. Mais en dépit des innovations et des objectifs (notamment de l’Union européenne) en matière de réduction de l’empreinte carbone du trafic aérien, les gaz à effet de serre émis par les avions devraient être en 2050 sept à dix fois supérieurs à ceux de 1990. Une situation qui appelle aussi à considérer l’impact des technologies d’IA sur l’environnement. Selon une étude de 2019 de l’Université du Massachusetts, l’entraînement d’un grand modèle d’IA lors de sa programmation peut émettre une quantité de dioxyde de carbone équivalente à 300 vols aller-retour de New-York à San Francisco. (Lire l’article)

#Rançongiciels&Géopolitique

Les attaques par rançongiciel (ces logiciels malveillants cryptant les données des utilisateurs et les rendant inaccessibles) est un phénomène en pleine expansion qui peut désormais s’associer à une nouvelle manière de prendre en otage des biens stratégiques à forte valeur. Si bien que selon l’experte Jenny Jun (Université de Columbia), il semble probable de voir prochainement une utilisation de tels dispositifs à des fins géopolitiques. Cette dernière a en effet procédé à une analyse du phénomène sous l’angle de la théorie des jeux (un aspect central en théorie des relations internationales), selon laquelle le cryptage par rançongiciel constituerait un moyen de coercition bien plus efficace qu’une prise d’otages, des menaces de bombardements ou la dissuasion par l’arme nucléaire. En effet, en termes de coûts, le cryptage est très avantageux et donc fortement incitatif pour l’attaquant (qui s’oppose, dans ce modèle, au “défenseur”). L’experte s’appuie sur quatre dimensions pour étayer ses propos. Si le blocage des données par cryptage peut être maintenu de façon illimitée sans coûts supplémentaire, il est aussi réversible (le défenseur peut récupérer ses données intactes s’il consent à payer), la barrière à l’entrée est très basse (puisqu’il n’y a pas besoin de disposer de ressources démesurées) et il ne subit aucune contrainte géographique. Aussi, le rançongiciel rend la menace asymétrique, les petits acteurs détenant généralement moins de données sensibles et ayant moins de “choses à perdre” que les grandes puissances économiques et militaires. Mener une attaque au rançongiciel efficace nécessite avant tout d’identifier “la bonne victime” et les données les plus importantes (pour lesquelles elle sera disposée à payer une rançon). L’attaque au rançongiciel partage toutefois certaines limites avec les méthodes traditionnelles de coercition (exposition à une vengeance en retour, résistance de la victime pour ne pas paraître pour une cible facile, etc.). Dans le même temps, cette méthode porte en elle la possibilité d’atteindre un équilibre des forces conduisant à dissuader son utilisation. (Lire l’article)