MtoM Mag - Le journal de l'MtoM.

L’intelligence artificielle est de plus en plus développée pour analyser les signaux neuronaux, modéliser les comportements et anticiper les schémas de prise de décision. Cela marque un changement de paradigme, passant du simple traitement de données à des systèmes capables d’interpréter la cognition humaine et d’interagir avec elle. Lors de Kaspersky HORIZONS, la conférence européenne annuelle de Kaspersky sur l’avenir de la cybersécurité, qui s’est tenue cette année à Rome le 19 mai, Kaspersky a examiné ce que l’évolution de l’IA implique pour la vie privée mentale et l’autonomie cognitive.

Si les systèmes d’IA actuels ne peuvent ni lire directement ni décoder avec précision les pensées humaines, ils disposent de capacités susceptibles d’influencer les comportements et d’orienter les décisions grâce à des systèmes de recommandation, à la personnalisation et au contrôle de l’information à grande échelle. À cet égard, cela représente un risque cybersécuritaire et socio-technique réel et croissant, même si les scénarios les plus extrêmes restent spéculatifs.

Kaspersky GReAT prévoit que les quatre risques de sécurité émergents suivants s’accentuent à mesure que les systèmes d’IA cognitive progressent :

 1 L’ingénierie sociale devient plus complexe et plus trompeuse

Les grands modèles de langage (LLM) transforment déjà l’ingénierie sociale en une menace beaucoup plus sophistiquée et convaincante. Les pirates peuvent désormais générer des e-mails et des pages de phishing plus crédibles. Grâce à l’IA cognitive, ils peuvent potentiellement exploiter les réseaux sociaux et de vastes ensembles de données pour élaborer des escroqueries très ciblées, en utilisant des analyses comportementales et un profilage psychologique afin d’augmenter leurs taux de réussite. Les tentatives de phishing peuvent également être générées de manière dynamique, adaptées au contexte et persuasives sur le plan émotionnel, ce qui les rend nettement plus convaincantes.

Cela peut impacter aussi bien les individus que les organisations, sous la forme de vols de données et d’escroqueries financières. Le dernier rapport mondial de Kaspersky Security Services montre que le phishing représente environ 15 % des techniques d’attaque les plus courantes, soit une sur sept. Dans ce contexte, le phishing peut constituer un point d’entrée efficace pour les menaces persistantes avancées (APT) et d’autres formes sophistiquées de cybercriminalité ciblant les entreprises et les entités gouvernementales.

 2 La manipulation cognitive façonne l’opinion publique

Au-delà des attaques individuelles, l’IA permet de mener des opérations d’influence à grande échelle capables de façonner l’opinion publique. Des acteurs tels que les hacktivistes ou les groupes APT peuvent potentiellement exploiter les biais cognitifs et les déclencheurs émotionnels au sein de populations entières. Les plateformes de réseaux sociaux illustrent déjà la manière dont les systèmes algorithmiques peuvent renforcer les chambres d’écho et amplifier la polarisation, tandis que les campagnes politiques et les entreprises peuvent recourir au micro-ciblage et à des techniques comportementales pour susciter l’engagement des utilisateurs. À mesure que ces capacités progressent, la distinction entre prédire un comportement et le façonner activement devient de plus en plus floue. Cela engendre des risques systémiques non seulement pour l’autonomie individuelle, mais aussi pour la confiance du public.

 3 Le profilage favorise les abus prédictifs

Le profilage piloté par l’IA devient un puissant outil d’abus. En regroupant des données issues des réseaux sociaux, du comportement numérique et d’autres sources, l’IA peut établir des profils psychologiques et d’identité extrêmement détaillés des individus. Cela amplifie considérablement le doxing (divulgation de données personnelles) et les abus facilités par la technologie. Des informations autrefois fragmentées peuvent désormais être automatiquement mises en corrélation, exposant ainsi des détails sensibles, reliant des identités entre elles et permettant un harcèlement ciblé à grande échelle. Les attaques peuvent également être adaptées aux vulnérabilités personnelles de chacun, ce qui les rend plus efficaces et plus difficiles à contrer.

Parallèlement, les modèles prédictifs introduisent le risque que des individus soient jugés ou pris pour cible sur la base d’un comportement déduit plutôt que d’actions réelles. La menace passe ainsi d’une perte de confidentialité à une perte de contrôle sur son identité, ainsi que sur la manière dont celle-ci est construite et utilisée à son encontre.

 4 Les interfaces cerveau-ordinateur convergent vers l’IdO

Bien qu’elles en soient encore largement au stade expérimental, les interfaces cerveau-ordinateur (BCI) sont déjà utilisées pour permettre aux patients de communiquer en interprétant leurs signaux neuronaux. Les recherches en cours étendent leurs capacités au-delà de l’interaction de base, notamment en leur permettant de contrôler des appareils externes. C’est là que les BCI commencent à converger avec l’Internet des objets. Concrètement, les signaux neuronaux peuvent être utilisés pour envoyer des commandes à des systèmes connectés tels que des appareils domestiques intelligents, des technologies d’assistance ou des équipements médicaux.

Si cette intégration offre des avantages considérables, notamment dans les domaines de la santé et de l’accessibilité, elle étend également les risques liés à la cybersécurité à de nouveaux domaines. En effet, des systèmes compromis pourraient permettre des actions non autorisées via l’interface neuronale de l’utilisateur, notamment l’interception de signaux, la manipulation des réponses des appareils ou l’exploitation du lien entre l’intention et l’exécution. Par conséquent, les risques de sécurité dépassent l’infrastructure numérique pour toucher le domaine des systèmes physiques et de l’action humaine.

« Bien que l’IA cognitive en soit encore à ses débuts et soit loin d’une adoption massive, elle se développe rapidement », explique Noushin Shabab, chercheuse principale en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky. « Les modèles avancés d’interaction entre l’homme et l’IA devraient encore se généraliser considérablement au cours des prochaines décennies. À mesure que leur adoption s’étendra, les risques associés augmenteront également, et lorsque cela se produira, nous devrons être prêts. »

Relever ces défis exige une collaboration proactive entre la communauté de la cybersécurité, les développeurs d’IA, les scientifiques et les décideurs politiques. Comme l’a expliqué Teresa Potenza, journaliste et éducatrice en IA responsable, qui s’est exprimée sur ce sujet lors de la conférence : « Le véritable risque de l’IA cognitive est qu’elle façonne nos esprits, discrètement et à grande échelle. Nous avons appris que les systèmes optimisés pour l’engagement érodent le jugement. C’est pourquoi la réglementation est désormais une défense de l’action humaine, mais elle ne pourra pas suivre le rythme de l’IA cognitive si elle se contente de traiter ce que ces systèmes font aujourd’hui. Nous avons besoin d’un principe applicable : la technologie doit servir les personnes, et non l’inverse. L’autonomie n’est pas seulement une question de vie privée. C’est une question de démocratie. »