Cybersécurité
Comment l’IA améliore la criminalistique numérique
Les professionnels de la criminalistique numérique peuvent utiliser l’intelligence artificielle pour accélérer et améliorer leurs processus actuels, réduisant ainsi le temps d’enquête et améliorant l’efficacité. Cependant, même si son impact est plutôt positif, certains problèmes subsistent. L’IA peut-elle remplacer les analystes légistes ? Plus important encore, les découvertes basées sur l’IA résisteraient-elles même devant les tribunaux ?
Qu’est-ce que la médecine légale numérique ?
La criminalistique numérique – anciennement connue sous le nom de criminalistique informatique – est une branche de la médecine légale qui traite exclusivement des appareils électroniques. Le travail d'un analyste médico-légal consiste à enquêter sur les cybercrimes et à récupérer des données pour produire des preuves.
Les professionnels de l'industrie utilisent l'informatique et des techniques d'enquête pour découvrir des données sur les ordinateurs, les téléphones, les clés USB et les tablettes. Ils visent à trouver, conserver, examiner et analyser les données pertinentes à leur cas.
Comment fonctionne la criminalistique numérique ?
La criminalistique numérique suit généralement un processus en plusieurs étapes.
1. Saisie
Les équipes doivent d'abord saisir le média en question auprès de leur suspect. À ce stade, ils démarrent une chaîne de traçabilité – une piste électronique chronologique – pour savoir où se trouvent les preuves et comment ils les utilisent. Cette étape est cruciale s’ils vont en jugement.
2. Conservation
Les enquêteurs doivent préserver l'intégrité des données originales et commencent donc leur examen en faisant des copies. Ils visent à décrypter ou récupérer autant d’informations cachées ou supprimées que possible. Ils il faut aussi le sécuriser contre tout accès non autorisé en supprimant sa connexion Internet et en la plaçant dans un stockage sécurisé.
3. Une analyse
Les légistes analysent les données avec diverses méthodes et outils. Étant donné que les appareils stockent des informations chaque fois que leur utilisateur télécharge quelque chose, visite un site Web ou crée une publication, une sorte de trace écrite électronique existe. Les experts peuvent vérifier les disques durs, les métadonnées, les paquets de données, les journaux d'accès au réseau ou les échanges de courriers électroniques pour rechercher, collecter et traiter des informations.
4. Reporting
Les analystes doivent documenter chaque action qu’ils entreprennent pour garantir que leurs preuves tiennent ultérieurement devant un tribunal pénal ou civil. Lorsqu’ils terminent leur enquête, ils rendent compte de leurs conclusions, soit aux forces de l’ordre, au tribunal ou à l’entreprise qui les a embauchés.
Qui utilise la criminalistique numérique ?
La criminalistique numérique enquête sur les activités illégales liées aux appareils électroniques, c'est pourquoi les forces de l'ordre l'utilisent souvent. Il est intéressant de noter qu’ils ne s’attaquent pas uniquement à la cybercriminalité. Toute faute – qu’il s’agisse d’un crime violent, d’une infraction civile ou d’un crime en col blanc – qui peut être liée à un téléphone, un ordinateur ou une clé USB est un jeu équitable.
Les entreprises embauchent souvent des analystes légistes après avoir été victimes d’une violation de données ou d’une cybercriminalité. Considérant que les attaques de ransomware peuvent coûter très cher 30% du résultat opérationnel d'une organisation, il n'est pas rare que les dirigeants engagent des enquêteurs experts pour tenter de récupérer une partie de leurs pertes.
Le rôle de l'IA dans la criminalistique numérique
Une enquête médico-légale numérique est généralement un processus complexe et de longue haleine. En fonction du type et de la gravité de l'infraction – et du nombre d'enquêteurs Megabtyes à examiner – une seule affaire peut prendre des semaines, des mois, voire des années. La vitesse et la polyvalence inégalées de l’IA en font l’une des meilleures solutions.
Les analystes légistes peuvent utiliser l’IA de plusieurs manières. Ils peuvent utiliser l'apprentissage automatique (ML), le traitement du langage naturel (NLP) et des modèles génératifs pour la reconnaissance de formes, l'analyse prédictive, la recherche d'informations ou le brainstorming collaboratif. Il peut gérer leurs tâches quotidiennes banales ou leurs analyses avancées.
Comment l’IA pourrait améliorer la criminalistique numérique
L’IA pourrait améliorer considérablement de nombreux aspects de la science médico-légale numérique, modifiant ainsi de manière permanente la façon dont les enquêteurs effectuent leur travail.
Automatiser les processus
L'automatisation est l'une des plus grandes capacités de l'IA. Puisqu'il peut fonctionner de manière autonome, sans intervention humaine, les analystes peuvent le laisser gérer des tâches répétitives et chronophages tout en hiérarchisant les responsabilités critiques et hautement prioritaires.
Les experts engagés par les marques en profitent également puisque 51% des décideurs en matière de sécurité conviennent que les volumes d'alertes sur leur lieu de travail sont écrasants, 55 % admettant qu'ils manquent de confiance dans la capacité de leur équipe à établir des priorités et à réagir à temps. Ils peuvent utiliser l’automatisation de l’IA pour examiner les journaux antérieurs, ce qui facilite la gestion de l’identification de la cybercriminalité, des violations de réseau et des fuites de données.
Fournir des informations vitales
Un modèle ML peut enregistrer en permanence les événements de cybercriminalité réels et parcourir le dark web, ce qui lui permet de détecter les cybermenaces émergentes avant que les enquêteurs humains n'en prennent conscience. Alternativement, il peut apprendre à analyser le code à la recherche de logiciels malveillants cachés afin que les équipes puissent trouver plus rapidement la source des cyberattaques ou des violations.
Accélérer les processus
Les enquêteurs peuvent utiliser l’IA pour accélérer considérablement l’examen, l’analyse et la production de rapports, car ces algorithmes peuvent analyser rapidement de grandes quantités de données. Par exemple, ils peuvent l'utiliser pour forcer brutalement un mot de passe sur un téléphone verrouillé, rédiger un brouillon de rapport ou résumer un échange de courrier électronique d'une semaine.
La rapidité de l'IA serait particulièrement utile aux experts que les entreprises embauchent, car de nombreux services informatiques évoluent trop lentement. Par exemple, en 2023, les entreprises a pris 277 jours en moyenne pour répondre à une violation de données. Un modèle ML peut traiter, analyser et générer des résultats plus rapidement que n'importe quel humain, il est donc idéal pour les applications sensibles au facteur temps.
Trouver des preuves critiques
Un modèle équipé du NLP peut analyser les communications pour identifier et signaler les activités suspectes. Les enquêteurs peuvent le former ou l’inciter à rechercher des informations spécifiques à un cas. Par exemple, s’ils lui demandent de rechercher des mots liés au détournement de fonds, il pourrait les orienter vers des textes dans lesquels le suspect admet avoir détourné des fonds d’entreprise.
Les défis que l’IA doit surmonter
Même si l’IA pourrait être un outil médico-légal puissant – susceptible d’accélérer les affaires de plusieurs semaines – son utilisation n’est pas sans inconvénients. Comme la plupart des solutions centrées sur la technologie, elle présente de nombreux problèmes de confidentialité, de sécurité et d’éthique.
Le problème de la « boîte noire », dans lequel les algorithmes ne peuvent pas expliquer leur processus de prise de décision, est le plus urgent. La transparence est essentielle dans les salles d'audience, où les analystes fournissent des témoignages d'experts dans des affaires pénales et civiles.
S’ils ne peuvent pas décrire comment leur IA a analysé les données, ils ne peuvent pas utiliser ses conclusions devant les tribunaux. Selon les Federal Rules of Evidence – normes régissant les preuves admissibles devant les tribunaux américains – un outil médico-légal numérique alimenté par l'IA n'est acceptable que si le témoin démontre une connaissance personnelle de ses fonctions, explique de manière experte comment il est arrivé à ses conclusions et prouve que ses conclusions sont exactes.
Si les algorithmes étaient toujours précis, le problème de la boîte noire ne poserait pas de problème. Malheureusement, ils ont souvent des hallucinations, surtout lorsqu’il s’agit d’une ingénierie involontaire. Un enquêteur demandant à un modèle NLP de lui montrer des cas où le suspect a volé des données d'entreprise peut sembler inoffensif mais peut donner lieu à une fausse réponse pour satisfaire la requête.
Les erreurs ne sont pas rares puisque les algorithmes ne peuvent pas raisonner, comprendre le contexte ou interpréter les situations de manière globale. En fin de compte, un outil d’IA mal formé peut donner plus de travail aux enquêteurs puisqu’ils devront trier les faux négatifs et les faux positifs.
Les préjugés et les défauts peuvent aggraver ces problèmes. Par exemple, une IA chargée de trouver des preuves de cybercriminalité peut ignorer certains types de cyberattaques en raison de préjugés développés au cours de la formation. Alternativement, il pourrait ignorer les signes de crimes associés, estimant qu’il doit accorder une priorité excessive à un type spécifique de preuve.
L’IA remplacera-t-elle les experts enquêteurs ?
Les fonctionnalités d'automatisation et de traitement rapide de l'IA pourraient compresser des dossiers de plusieurs mois en quelques semaines, aidant ainsi les équipes à mettre les auteurs de cybercriminalité derrière les barreaux. Malheureusement, cette technologie est encore relativement nouvelle et les tribunaux américains n'aiment pas les technologies non éprouvées et qui repoussent les limites.
Pour l’instant – et probablement dans les décennies à venir – l’IA ne remplacera pas les analystes en criminalistique numérique. Au lieu de cela, il les aidera dans leurs tâches quotidiennes, les aidera à orienter leurs processus de prise de décision et à automatiser les responsabilités répétitives. La surveillance humaine restera nécessaire jusqu’à ce qu’ils résolvent définitivement le problème de la boîte noire et que le système juridique trouve une place permanente à l’IA.