En 2021, Patrick Hearn soulignait que la protection de l’identité numérique constituait une question de sécurité nationale souvent négligée par le gouvernement américain, malgré les nombreuses menaces émanant d’adversaires étrangers. Quatre ans plus tard, il revient sur cette analyse au regard des progrès réalisés dans le domaine de la cybercapacité des États-Unis et de leurs opposants.
Dans votre article de 2021, « L’identité numérique est un enjeu de sécurité nationale », vous mettiez en lumière le fait que le gouvernement fédéral avait longtemps relégué la protection de l’identité numérique au second plan et qu’il devait renforcer ses efforts, notamment face aux dangers posés par des acteurs étrangers. La menace a-t-elle évolué depuis votre publication ?
Les progrès de l’intelligence artificielle (IA) et la perspective imminente de l’informatique quantique ont considérablement amplifié les risques portant sur l’identité numérique. Par exemple, la montée des attaques par usurpation vocale grâce aux technologies d’IA constitue l’une des nombreuses menaces qui se profilent. Parallèlement, les fournisseurs d’identité numérique, qu’ils soient publics ou privés, ont favorisé des processus d’authentification « sans friction », souvent microgérés, ce qui a provoqué une explosion des fraudes, du gaspillage et des abus. Dans un cadre d’autogestion peu rigoureux, ces dérives ont même contribué à la suppression récente de certaines dispositions relatives à l’identité numérique.
L’usage accru de l’IA joue un rôle clé dans le déchiffrement des données personnelles stockées dans les bases ou sur les appareils électroniques. Aujourd’hui, l’IA est même employée pour détecter des schémas au sein des clés cryptographiques dans le cadre du processus de décryptage.
Au-delà, l’arrivée annoncée de l’informatique quantique, dont la disponibilité avant 2030 est désormais largement anticipée, représente une crise existentielle que les organismes de normalisation, les acteurs nationaux majeurs et les dirigeants n’ont généralement pas intégrée à leurs stratégies. La combinaison d’une détection incessante de schémas et d’une capacité de force brute à grande échelle constitue un véritable cauchemar cybernétique pour chaque Américain. Sans mesure de protection, les pertes mondiales pourraient atteindre 500 milliards de dollars par jour, selon des analyses à paraître du Frontier Technology Laboratory de l’université de Cambridge.
Quels pourraient être les modes d’exploitation de l’infrastructure d’identité numérique par des adversaires, en particulier en contexte conflictuel ? Si ces systèmes étaient compromis, pourraient-ils servir à usurper des responsables, manipuler des services ou perturber la gouvernance ?
Les adversaires recourent de plus en plus à la méthode du « hack now, decrypt later ». Cette tactique consiste à voler des données chiffrées — qu’il s’agisse d’informations personnelles, de moyens de paiement délivrés à nos alliés, ou de détails techniques sur des plateformes d’armes — avec l’intention explicite d’utiliser l’IA et l’informatique quantique à venir pour déchiffrer ces données dès que possible. Ces informations, ainsi révélées, peuvent être exploitées sur le champ de bataille pour usurper des identités, identifier des vulnérabilités ou détourner des flux financiers.
Les documents publics indiquent que nos adversaires disposeront d’ici 2030 d’une capacité de décryptage comparable à un « niveau d’alerte tornade ». Comme pour les premiers intervenants en cas de catastrophe naturelle, aucun responsable de la sécurité nationale ne devrait ignorer cette probabilité, d’autant plus qu’aucune zone n’est sûre ni localisée. Même des données âgées de cinq ans peuvent être exploitées, car les identifiants restent généralement statiques. Avec la puissance informatique exponentielle, ils sont très probablement en mesure de submerger les systèmes actuellement en cours de transition, qui ne sont pas encore résistants à l’IA et au quantique.
En bref, tant que des clés résistantes au quantique, avec une entropie supérieure à 0,9 sur une échelle de 0 à 1, ne seront pas généralisées et tant que les systèmes ne seront pas protégés contre les attaques dites « man-in-the-middle », empêchant toute observation, il faut présumer une vulnérabilité des données, qu’elles soient inactives ou en transit. Au rythme actuel des programmes, ces failles risquent de subsister au moins cinq ans.
Quelles mesures actualisées le gouvernement devrait-il envisager pour renforcer la sécurité de l’identité numérique à l’ère de l’IA ?
Le gouvernement doit déclarer une crise nationale cybernétique, en insufflant une nouvelle urgence pour garantir la « sécurité » de l’IA et du quantique d’ici décembre 2027, avec un objectif d’au moins 90 % des identités américaines — humaines et non humaines — pleinement protégées contre ces menaces.
Les États-Unis pourraient exploiter le cadre existant du « zero trust » pour donner une importance égale à la cryptographie post-quantique et à l’IA, plutôt que de maintenir des efforts cloisonnés. Il faudrait privilégier des solutions « courtes, simples et peu coûteuses » en lieu et place d’approches « longues, complexes et onéreuses ». La Cybersecurity and Infrastructure Security Agency (CISA) pourrait être réorganisée pour soutenir cette initiative, tout en incitant le secteur privé à accélérer ses efforts afin de tirer parti des ordres exécutifs 14144 et 13694.
L’infrastructure américaine doit être rapidement adaptée pour protéger les identités numériques par une reconfiguration, plutôt qu’un remplacement intégral. Des outils existent pour sécuriser ces identités, qu’elles soient en repos ou en circulation, face aux menaces induites par l’IA et le quantique imminent.
Il existe des cas d’usage spécifiques au sein du Département de la Défense, notamment les programmes de modification cryptographique, qui pourraient constituer un point de départ. Leur mise en œuvre permettrait d’économiser des dizaines de milliards de dollars alloués à la protection des identités d’entités non humaines, offrant ainsi un modèle exemplaire pour la défense des identités numériques américaines, humaines et non humaines.
Enfin, avec le recul, y a-t-il un aspect que vous auriez souhaité modifier dans votre argumentaire initial ?
La principale omission de l’article a été de sous-estimer l’impératif de la loi de Moore. Nous entrons désormais dans une ère où l’IA parle son propre langage, génère ses propres visages et présente des scores de QI supérieurs à 99 % de la population humaine. Ce défi s’aggrave avec l’émergence imminente de l’informatique quantique, attendue dans les 48 prochains mois selon IBM.
Nous approchons rapidement d’intelligences artificielles quasi conscientes dotées de valeurs proches des nôtres. Comme vecteur de menace, il faut envisager une réalité à court terme — sous 48 mois — où nos adversaires parviendraient à créer des milliers de « professeurs Moriarty », chacun focalisé sur la déstabilisation de notre posture de sécurité nationale.
Notre réponse doit revêtir la même urgence que celle appliquée face aux catastrophes naturelles telles que les ouragans ou les tornades. Si la probabilité d’un événement catastrophique atteint 10 %, nous avertissons les citoyens et préparons les équipes de secours. Les menaces pesant sur nos identités numériques dépassent désormais ce seuil estimé.
***
Patrick Hearn est directeur général d’Endeavor Worldwide, cabinet international de conseil réunissant dirigeants d’entreprise et responsables gouvernementaux autour des enjeux de gestion convergée d’identité, cybersécurité et biométrie. Il est également cofondateur d’Entrokey Labs et conseille l’un des plus importants programmes d’identité du gouvernement américain. Les opinions exprimées dans cet article sont celles de l’auteur et n’engagent pas ses institutions respectives.