Cyber Grand Challenge, la Darpa veut des robots pour lutter contre les cyber-attaques

Lancé en 2013, le concours de cyber-sécurité de la DARPA touche bientôt à sa fin. L’épreuve finale verra s’affronter les meilleures intelligences artificielles le 4 août à Las Vegas.

La DARPA au coeur de l’innovation

Le Cyber Grand Challenge fait partie de ces nombreux concours qui voient s’opposer les plus grands esprits pour décrocher un contrat avec la prestigieuse agence de défense et de recherche américaine, la DARPA. Le laboratoire de la Défense américaine a été créé par le président Eisenhower dans la foulée de la seconde guerre mondiale et surtout pour répondre aux exigences de la guerre froide avec le rival russe. La plus grande bataille qui opposa les deux blocs fut celle de la conquête spatiale, avant de se recentrer progressivement vers les technologies militaires de pointe, mais pas seulement. En avril dernier, elle avait lancé un concours pour faire le grand ménage sur le spectre radiophonique, bien trop chargé. Un autre de ses projets, le Deka Arm, développé dans le cadre du programme Revolutionnary Prosthetics, a lui aussi donné lieu à une commercialisation d’une prothèse bionique dans le civil.

Son budget a connu une succession de hausses depuis les attentats du 11 septembre 2001 et il avoisine actuellement les 3 milliards de dollars, contre à peine deux milliards en 2000. Initialement connue sous le nom d’ARPA, c’est bien elle qui est à l’origine de l’ARPAnet et des premiers réseaux de connexions informatiques.

Connectivité globale et failles informatiques

Aujourd’hui la toile a étendu son emprise sur la planète entière et l’internet est accessible à peu près partout et par n’importe qui, y compris dans une bonne partie des pays africains via la connectivité mobile, bien que l’ensemble du continent demeure très inégalement couvert.

Au rythme effréné de l’expansion de l’informatique dans tous les domaines, professionnel, domicile, loisirs, le nombre d’attaques informatiques est lui aussi de plus en plus élevé. Selon un rapport de la société de sécurité Symantec, près de trois quarts des filets de sécurité des entreprises exposent des failles. D’après Pandasecurity, l’année 2015 a complètement explosé les chiffres avec plus de 85 millions de malwares créés, à raison de 230 000 par jour, soit un peu plus de 27% de tous les logiciels malveillants créés depuis l’invention de l’informatique.

Autre chiffre inquiétant, qui nous vient du cabinet d’audit PwC, le nombre cyber-attaques aurait augmenté de 48% en 2015, alors que les budgets alloués à la cyber-défense ont diminué pour la première fois, pour une augmentation des attaques d’environ 66% par an depuis 2009. Pour atteindre le nombre de 42 millions d’attaques en 2015. On se souvient des vols et diffusions de photos nues de célébrités, des profils et comptes de milliers d’utilisateurs du site de rencontres extra-conjugales Ashley Madison, ou bien de l’attaque contre TV5 Monde dont les assaillants se revendiquaient de Daesh alors qu’il s’agissait de hackeurs russes. Et pour ne pas revivre le même cauchemar, la chaîne internationale francophone avait même décidé de débourser plus de 10 millions de dollars dans la sécurisation de ses activités au travers du groupe Airbus. Les grandes organisations américaines organisent d’ailleurs régulièrement des concours de hacking en vue de tester la robustesse de leurs systèmes de défense, et tous, aussi puissants soient-ils, découvrent très vite de nombreuses failles. Le programme « Hack the Pentagon » avait d’ailleurs surpris de nombreux observateurs, puisque pas moins de 138 failles ont été découvertes par les « white-hate hackers » sur les sites de la Défense américaine.

Enfin, c’est le coût estimé de ces opérations qui est trop souvent négligé : plus de 15 milliards de dollars de pertes rien qu’aux Etats-Unis en 2015, contre 11,56 milliards en 2013. Second pays le plus touché, notre voisin allemand, qui essuie 7,5 milliards de pertes (moins que les deux années précédentes). Suivent le Royaume-Uni et le Japon… soient quatre économies parmi les plus puissantes de la planète. De nombreuses sociétés de cyber-sécurité proposent désormais leur version de cartes interactives en temps réel des attaques informatiques dans le monde, comme ci-desous avec Norse.

darpa-cyber-grand-challenge-2016-1

La réponse aux failles du tout-connecté : le Cyber Grand Challenge

« Aujourd’hui, les stratégies de cybersécurité dépendent des experts en sécurité : des experts qui identifient des failles et menaces et les comblent manuellement » explique l’Agence sur le site du concours. « Ce procédé peut prendre plus d’un an, une durée suffisamment longue pour que les systèmes aient déjà été atteints. C’est cette faible réactivité qui donne aux assaillants un avantage certain« .

Les entreprises et états essaient tant bien que mal de suivre le rythme à grands renforts de plans de sécurisation, souvent timides et coûteux. En France, il existe par exemple un label France Cybersecurity qui évalue la sécurisation des logiciels et entreprises à travers un collège de représentants de l’Etats (DGA et DGE), d’industriels et d’utilisateurs. En octobre 2015, le premier ministre, Manuel Valls, présentait la feuille de route de la Stratégie nationale pour la sécurité du numérique.

Le Cyber Grand Challenge (CGC) a justement pour objectif de palier cette lenteur inhérente au travail humain. Et pour accélérer le processus de protection des systèmes informatiques, rien de tel que de le sous-traiter à des programmes informatiques eux-mêmes. Un paradoxe qui n’apparaît pas comme tel aux yeux de la DARPA, qui ambitionne d’automatiser complètement le système de cyber-défense du gouvernement américain grâce à l’intelligence artificielle. Ce qu’elle veut, c’est « créer la première génération de machines capables de découvrir, tester et réparer les failles logiciels en temps réel et sans aucune supervision« . Car le but est de supprimer l’avantage de l’initiative de l’assaillant en étant capable de réagir instantanément à toute menace.

Déroulement de la compétition

Le concours met en jeu 2 millions de dollars pour le vainqueur, 1 million pour le second et 750 000 pour le troisième.

Le 3 juin 2015, 28 équipes parmi les 104 de départ avaient présenté leur système autonome d’identification et de réparation de failles. Sept équipes ont finalement été retenues. Des équipes issues de divers horizons, de l’industrie au champ académique en passant par les start-ups et des hackers de longue date. Pour prétendre à la finale, le programme autonome devait être capable de vérifier et réparer 131 logiciels en moins de 24 heures. Une cadence plus soutenue que de celle des spécialistes en cyber-sécurité. Parmi les sept finalistes il y aura les équipes CSDS de Moscou, Deep Red de Arlington (US), Disekt d’Athènes, Forallsecure de Pittsburgh (US), ShellPhish de Santa Barbara (US), TechX de Ithaca et Charlotteville (US), Docejitsu de Syracuse, Berkeley et Lausanne. Vous pourrez trouver davantage d’informations sur ces équipes sur le site du concours.

Le 4 août prochain, les 7 équipes finalistes devront s’affronter les unes les autres durant un tournoi de 10 heures qui se tiendra à la DefCon de Las Vegas. En bref, chaque machine se retrouvera dans un réseau de protocoles connus, mais qui incorporera des codes informatiques inconnus. Avant d’identifier une quelconque vulnérabilité, il leur faudra donc apprendre le langage informatique du logiciel.

L’IA victorieuse du Cyber Grand Challenge affrontera une équipe de hackers humains en direct à la DefCon.

Un grand concours de hacking, qui inquiète Elon Musk au plus haut point. Celui qui est à l’origine de la plate-forme ouverte de développement d’intelligences artificielles OpenAI, s’est laissé allé à un petit tweet provocateur à l’encontre du CGC de la DARPA :

Et pour cause, le patron de SpaceX pointe le dilemme de la machine omnipotente telle que présenté dans la saga cinématographique Terminator dans laquelle le programme Skynet prenait le pouvoir. Elon Musk est un habitué des phrases incisives et semble prendre du plaisir à éveiller les craintes (bien que fondées) chez les internautes et journalistes qui boivent ses paroles et les rediffusent sans trop prendre de distance avec ses propos, volontairement provocateurs. Il avouait lui-même être à bout d’idées farfelues dans un tweet après une interview passée à envoyer des phrases chocs, reprises sans considération par les grands médias.

Un tweet auquel l’Agence américaine s’est empressée de répondre :

L’une des équipes participantes a également pris part à la discussion :


Laisser un commentaire