La Darpa, le bras technologique de l'armée, réfléchit à un mode de surveillance permettant d'attraper les whistleblowers avant les fuites. Le programme le plus ambitieux s’appelle Adams (pour Anomaly detections At Mustiple Scales).
- REUTERS/Kacper Pempel -es trolls payés par le gouvernement. De faux documents. Des logiciels qui permettent de vous identifier grâce à la manière dont vous tapez sur votre clavier. Voilà quelques-unes des méthodes que le Pentagone a mis en œuvre pour tenter de mettre la main sur le prochain Edward Snowden avant qu’il ne fasse fuiter des informations. Le petit problème, comme le confient des chercheurs effectuant leurs travaux avec le soutien de l’armée, c’est que chacune des solutions visant à repérer d’éventuels whistleblowers crée autant de maux de crânes qu’elle est censée résoudre.
Avec plus de 1,4 million d’Américains possédant l’équivalent d’une accréditation secret-défense délivrées par un réseau complexe d’agences militaires, gouvernementales et privées, tenter de repérer le prochain Edward Snowden ou le prochain Bradley Manning est une tâche difficile.
Mais, avant même les révélations qui ont ébranlé la NSA début juin, le gouvernement était déjà en train de financer des recherches afin de déterminer si, dans la montagne de données dont il dispose, il pourrait, d’une manière où d’une autre, glaner quelques signes avant-coureurs d’une menace interne.
Au cours des mois qui ont suivi les révélations de WikiLeaks, la Darpa (Defense Advanced Research Project Agency –le bras technologique de l’armée américaine) a lancé une série de programmes de recherches sur les méthodes permettant de détecter des comportements suspects à l’intérieur de ses bases de données, ce qui pourrait permettre de neutraliser du personnel mal intentionné (à leurs yeux) comme Bradley Manning (ou dans des cas plus extrêmes comme Nidal Malik Hasan, le tueur de Fort Hood).
Le programme le plus ambitieux de cette série s’appelle Adams (Anomaly detections At Multiple Scales), un programme qu’un intitulé de recherche publié en 2010 a décrit comme un moyen de «créer, adapter et appliquer les technologie au problème de la caractérisation des anomalies et à la détection dans des bases de données massives». Idéalement, le programme Adams doit développer des ordinateurs capables d’analyser un grand nombre de données générées par les utilisateurs de ces mêmes bases –les emails, les demandes dans les bases de données transitant par un bureau de la NSA à Honolulu, par exemple et d’apprendre à détecter un comportement anormal à l’intérieur du système.
Le problème majeur, en l’espèce, n’est pas tant de créer un ordinateur capable de détecter un comportement aberrant –il y en a déjà un grand nombre sur différents réseaux– mais plutôt d’en créer un capable d’ignorer ce qui doit l’être.
«J’aime bien utiliser l’exemple de l’apprentissage de la différence entre un renne et un élan», écrit ainsi Tom Dietterich, spécialiste en informatique de l’Oregon State University et qui a développé les méthodes de détection d’anomalie du programme de l’Adams dans un email qu’il a envoyé à Foreign Policy.
«Si tout ce que je dois faire, c’est de différencier ces deux espèces, je peux me concentrer sur la taille de leurs bois et savoir si ces bois ont, ou non de la fourrure et je n’ai pas même besoin de tenir compte de la couleur de leur robe. Mais si je me contente de ces caractéristiques, je ne remarquerais pas que Rudolph, le renne avec un nez rouge, est une anomalie, parce que je ne m’occupe pas des couleurs (et de celle des nez, dans ce cas). Donc, dans un système de détection des anomalies, il est important de considérer tout attribut (ou comportement) pouvant être pertinent plutôt que de se concentrer sur quelques caractéristiques spécifiques.»Au cours des trois dernières années écoulées, la Darpa a dépensé des millions de dollars afin de trouver le moyen de séparer les Rudolph des autres rennes et de comprendre à quoi ressemblent exactement ces nez rouges. Elle a par exemple accordé 9 millions de dollars à la Georgia Tech pour coordonner les recherches d’algorithmes permettant de repérer les anomalies.
Il est possible de voir la liste précise de ces recherches financée par l’Adams sur son site, comme cette proposition de la société Allure Security Technologie, basée à New York, fondée par un professeur en informatique de l’université de Columbia, qui propose de placer dans les systèmes utilisés par le gouvernement des «serveurs pot de miel» et de faux documents permettant de pousser d’éventuels «leakers» à passer à l’acte. Les administrateurs de ces systèmes seraient avertis lorsque quelqu’un accède à ces documents, ce qui permettrait également au système de développer un modèle de «comportement suspect». La compagnie a donné à cette technique le nom de «fog computing» («brouillard informatique»).
Une autre recherche financée par l’Adams est celle de la Carnegie Mellon University, menée par Kevin Killourhy, visant à établir un système permettant de «repérer les individus à la manière dont ils tapent sur un clavier». Killourhy explique que lorsque trois personnes se voient demander de taper le mot de passe «.tie5Roanl», les trois utilisateurs peuvent être identifiés par la durée sur laquelle ils appuient sur la touche «t». L’article suggère que de telles technologies pourraient «révolutionner l’art de la détection des menaces internes». Malgré cela, même les meilleurs systèmes ont, actuellement, un taux d’erreur allant jusqu’à 63% et la détection peut être totalement erronée si la personne est mauvaise en dactylographie. (Note à l’attention des whistleblowers potentiels: essayez de taper à deux doigts.)
Sous le titre clairement abscons de Factorisation Matricielle résiduelle non-négative avec une application aux détections d’anomalie de graphie, deux chercheurs d’IBM soutenus par la Darpa ont tenté d’identifier le genre de comportement qui pourrait indiquer un comportement suspect au sein d’un réseau étendu. Parmi eux, «une connexion entre deux nœuds de réseau appartenant à des communautés éloignées mais connectées entre elles» comme celle d’un auteur publiant un article sur un sujet n’étant pas normalement en lien avec ses sujets de recherches. Ou bien lorsqu’une adresse IP particulière reçoit des informations en provenance d’un nombre anormalement élevé d’autres adresses. Ou bien la «collusion», lorsqu’un «groupe d’utilisateurs donne de bonnes notes à un autre groupe d’utilisateurs de manière à gonfler artificiellement la réputation de ce dernier».
Cette pensée a déjà dépassé le stade théorique. Au cours d’une conférence qui s’est tenue en mai, des chercheurs de la société SAIC, spécialisée dans la défense, a présenté les résultat de son équipe de recherche Prodigal (Proactive Discovery of Insider Threats Using Graph Analysis and Learning) –intégrée à la nébuleuse Adams– qui a testé une série de méthodes de détection d’anomalies sur une organisation d’environ 5.500 utilisateurs sur une durée de deux mois. Des «équipes rouges» avaient été intégrées aux utilisateurs de la base de données afin de simuler des personnages types, comme «le saboteur», le «violeur de propriété intellectuelle» et le «furieux» –une «personne prompte à envoyer des emails/messages instantanés virulents, injurieux, agressifs ou menaçants». Ces méthodes ont produit des résultats contrastés.
De tels systèmes ne sont clairement pas encore en capacité d’identifier un éventuel Bradley Manning et Dietterich, le scientifique de l’université de l’Oregon, s’est montré prudent quand on lui a demandé si un système de ce genre pourrait un jour y parvenir.
«Tout ce que je pourrais déclarer ne serait que purement spéculatif et les chercheurs en intelligence artificielle sont bien payés pour savoir que nous sommes très mauvais pour déterminer à l’avance si telle ou telle méthode en cours de développement sera exploitable.»L’Adams est peut-être en phase d’essai, mais la détection des «menaces intérieures» est clairement une des priorités du gouvernement américain et cela ne date pas de la semaine dernière. En octobre 2011, le président Obama a signé une ordonnance portant création d’une Task Force chargée de lutter contre les menaces intérieures avec pour mission de «protéger les informations classifiées et d’empêcher qu’elles soient exploitées, compromises ou dévoilées sans autorisation».
L’affaire Snowden ne fera sans doute qu’accélérer les efforts entrepris pour combattre ces menaces. Certes, le fait que des outils technologiques ultra-perfectionnés puissent être utilisés par des agences comme l’Adams n’est pas sans ironie: ce genre de système d’analyse de données n’est après tout qu’un cousin germain du même système de surveillance généralisée dont Snowden a dénoncé l’existence. Ce genre de système peut naturellement alarmer les défenseurs de la vie privée, mais au final, l’idée que les agences de surveillance tout azimut des communications mondiales se trouvent contraintes, pour éviter les fuites, de mettre au point un système encore plus complexe pour s’espionner elles-mêmes fait moins penser à 1984 qu’à l’arroseur arrosé...
Joshua E. Keating
Traduit par Antoine Bourguilleau
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.