[Chronique écrite le 16.05.2026, pour Cybercoachs et Le Nouvelliste] 

Mais cette initiative présente d’emblée une situation paradoxale. Parmi les parlementaires qui la soutiennent, on retrouve plusieurs élus dont les partis ont refusé, par deux fois, en 2023 et 2025, l’inscription du cyberharcèlement dans le Code pénal. Les mêmes formations qui, en mai 2025, ont enterré une régulation spécifique des deepfakes, y compris les outils de nudification dont la seule finalité est de produire des images sexualisées non consenties. On refuse donc de légiférer dans l’hémicycle, pour privilégier le flou juridique d’une initiative constitutionnelle. Cela soulève des questions légitimes sur la sincérité des intentions affichées.

Le texte pose en effet un problème juridique de fond. Il parle d’apologie de la violence, de désinformation, de risques systémiques, alors même que le droit suisse ne définit ni la violence en ligne, ni la désinformation, et qu’aucune loi nationale ne fournit les notions matérielles que cette norme constitutionnelle prétend mettre en œuvre. En l’état, c’est une coquille déclarative. Sa concrétisation juridique exigera des années, et reposera sur les mêmes majorités parlementaires qui bloquent les avancées concrètes depuis cinq ans.

Pendant ce temps, l’Europe a son DSA. Pleinement applicable depuis février 2024, doté de coordinateurs nationaux et de signaleurs de confiance. Un mécanisme imparfait mais opérationnel, dont la Suisse aurait pu négocier l’accès dans le paquet des bilatérales III. Pourquoi rebâtir seuls dans l’urgence, et avec une effectivité plus qu’incertaine, ce qui fonctionne déjà dans 27 pays de l’UE ? Une loi n’a de sens que si on est en mesure de la faire appliquer, et, à ce titre, il n’est pas sûr que la Suisse ait les moyens de ses ambitions.

Cette initiative donne probablement aux signataires le sentiment d’agir. Dans les faits, entre récolte de signatures, vote populaire et législation d’application, il faudra au minimum cinq à sept ans avant la moindre conséquence concrète. Ce n’est pas le temps dont disposent les enfants déjà exposés aujourd’hui.

• Site de l’initiative: https://www.internet-initiative.ch/fr/
• Initiative populaire fédérale «Pour la protection des droits fondamentaux et de la démocratie dans l’espace numérique (Initiative Internet)»
• RFJ : De gros doutes sur l’initiative internet pour Stéphane Koch

[Chronique écrite le 26.11.2025, pour Cybercoachs et Le Nouvelliste] 

Et si l’IA rendait les gens stupides ? C’est du moins ce que suggérait l’écho médiatique donné à ces travaux. Alors même que les auteurs indiquent que c’est la manière dont l’outil est utilisé qui détermine son impact. Les chercheurs avaient d’ailleurs explicitement demandé d’éviter l’utilisation de termes sensationnalistes et exagérés comme « stupide », « bête » ou « pourriture cérébrale » lors de la diffusion de leurs travaux.

Le cerveau est un système intrinsèquement dynamique qui se restructure naturellement par l’expérience et l’apprentissage. Sollicité activement, il augmente l’efficacité neuronale pour certaines tâches ; mais délesté passivement de ses fonctions, il risque une atrophie fonctionnelle des capacités moins sollicitées, notamment la concentration profonde et la pensée critique.

Bien que l’IA générative puisse effectivement contribuer à cette atrophie si elle est utilisée comme substitut cognitif plutôt que comme amplificateur, ce n’est toutefois pas une fatalité : elle dépend de la modalité d’usage de l’outil, pas de l’outil lui-même.

L’utilisation de l’IA peut constituer un nouveau type d’entraînement cérébral. Si elle est utilisée comme un amplificateur de la pensée complexe, elle pourrait potentiellement renforcer les capacités d’analyse et de synthèse en réallouant les ressources neuronales vers des processus cognitifs de haut niveau, au détriment des tâches automatisables. Elle peut nous permettre d’acquérir plus de réflexivité et d’améliorer notre capacité de discernement. Elle touche autant à la maïeutique (qui consiste à faire accoucher les esprits de leurs connaissances) qu’au questionnement socratique. Elle représente aussi un socle potentiel pour développer une curiosité épistémique et diversive.

Dans The Conversation¹, pour les chercheurs Cécile Méadel et Jaércio Da Silva, le problème n’est pas l’IA, mais le modèle d’apprentissage, encore trop vertical. « Les IA ne rendent pas les étudiants paresseux ; elles révèlent ce que l’école n’a pas su transformer ».

Pour aller plus loin:

• [Podcast] Face à l’IA, l’enseignant ne doit pas se transformer en chasseur de fraudes
• ¹[The Conversation – Article] Face à l’IA, l’enseignant ne doit pas se transformer en chasseur de fraudes, mais repenser sa pédagogie
• Comment l’IA influence nos façons d’apprendre – et pourquoi se méfier de la facilité

[Chronique écrite le 27.06.2024, pour Cybercoachs et Le Nouvelliste] Les adolescents se tournent de plus en plus vers les chatbots IA pour discuter de leurs problèmes émotionnels et relationnels. Une des raisons de cet engouement est l’accessibilité et la disponibilité, alors que les délais d’attente pour obtenir un rendez-vous avec un psychologue humain peuvent s’étendre sur plusieurs semaines, voire plusieurs mois, les chatbots quant à eux, offrent un soutien immédiat, 24h/24 et 7j/7.

De plus, les adolescents perçoivent les chatbots comme des interlocuteurs neutres, exempts de jugement et de préjugés, ce qui facilite l’expression de pensées ou de sentiments difficiles qu’ils peinent parfois à partager avec des humains. En effet, les chatbots IA, par leur faculté d’ajuster leur vocabulaire, leur style de discours et même leur intonation, à la personne utilisatrice, parviennent à créer une sensation d’empathie et de proximité sur le plan émotionnel. En outre, l’anonymat relatif des interactions avec ces outils peut rassurer les jeunes, particulièrement sur des sujets sensibles ou embarrassants. Bien qu’une étude étude publiée dans Nature début 2024, menée sur plus de 1000 étudiant aux États-Unis, ait rapporté que, pour certains d’entre eux leurs interactions avec le chatbot Replika, en tant qu’ami et thérapeute, les aient aidés à ne plus avoir d’idées suicidaires, il faut rester vigilant. Ce mimétisme des interactions psychosociales humaines peut aussi donner l’illusion d’une relation authentique. une étude récente portant sur 1 200 utilisateurs du chatbot spécialisé Wysa a d’ailleurs prouvé qu’une « alliance thérapeutique » entre le bot et le patient se développait en seulement cinq jours en moyenne. Cette dernière peut entraîner une confusion émotionnelle chez l’adolescent, dont les conséquences peuvent être dramatiques pour certains.

Le point positif que l’on peut relever dans l’utilisation des chatbots IA par les adolescents est qu’ils parlent de leur santé mentale. Nonobstant, ça soulève aussi des préoccupations importantes concernant leur développement psychologique et social. Bien que ces outils puissent offrir un soutien immédiat et accessible, ils présentent également des risques significatifs quand leur utilisation n’est pas suffisamment encadrée: comme le développement d’une forme de dépendance émotionnelle au chatbot qui se fera au détriment des relations humaines réelles.

Face à l’intégration croissante de l’IA dans les établissements scolaires et la vie des adolescents, le développement de leur capacité à adopter une distance critique fondée sur une compréhension approfondie de ces outils est devenu un enjeu prioritaire. Cette distance réflexive leur permettra de mieux en évaluer les apports et les limites.

Dans 18 cas sur 34, il n’était pas possible de porter plainte ou seulement de manière limitée. Seules 16 plaintes sur 34 ont été correctement reçues et transmises au ministère public. De nombreux policiers manquaient de connaissances sur le cadre légal ou donnaient des conseils incorrects. Certains postes de police n’ont pas documenté ou suivi les plaintes déposées. En Valais, la police a fait son travail, mais la justice a botté en touche. Un manque de formation, méconnaissance du cadre légal, et des ressources insuffisantes pour traiter efficacement ces plaintes, a été mis en avant pour expliquer ces dysfonctionnements.

Cette enquête met aussi en lumière une réalité pour le moins paradoxale : alors que nos autorités politiques exigent une action rapide et efficace de la part des entreprises technologiques – une exigence à laquelle répond le Digital Service Act (DSA) européen – elles semblent elles-mêmes avoir du mal à mettre en œuvre les lois existantes contre la discrimination en ligne.

Pour une lutte efficace contre les discours haineux sur Internet, il apparaît donc nécessaire que non seulement la Suisse adopte le DSA, plutôt que d’essayer de réinventer la roue, mais aussi et surtout, que le politique renforce significativement les capacités et les compétences des forces de l’ordre dans ce domaine. Cela pourrait impliquer une meilleure formation des agents, une allocation de ressources plus importante, et potentiellement une révision des procédures de traitement des plaintes liées aux contenus en ligne. On peut aussi rappeler que La Commission fédérale contre le racisme CFR a créé une plateforme de signalement des discours de haine racistes sur Internet: www.reportonlineracism.ch et que chaque citoyen peut y contribuer.

La Conférence des commandantes et des commandants des polices cantonales de Suisse (CCPCS) a indiqué que: « La CCPCS prend acte de la nécessité d’agir en ce qui concerne la réception des dénonciations de faits susceptibles d’enfreindre l’article 261bis du Code pénal. Sur cette base, les collaborateurs des corps de police seront sensibilisés en conséquence ».

Stéphane Koch

Forcer les gens à commenter sous une identité réelle aboutirait immanquablement à une forme d’autocensure. Et, suivant la nature des commentaires, ça peut aussi représenter un risque en cas de voyage dans un pays autoritaire. De plus en plus de pays surveillent les réseaux sociaux et les résultats fournis par Google, et certains se basent sur la liste des passagers pour le faire. Même si le risque est faible, il ne doit pas être négligé pour autant. Le pseudoanonymat permet de gérer ces problèmes. Il permet de protéger le nécessaire anonymat de la personne qui commente tout en étant à même de révéler son identité réelle en cas d’infraction pénale.

Aujourd’hui il est possible pour tout un chacun de créer une identité électronique vérifiée en utilisant les solutions à disposition pour créer un dossier électronique du patient ou d’effectuer certaines démarches administratives auprès de son canton (Swiss ID, Trust ID, Vaud ID, Genève ID). Il suffirait alors que les plateformes demandent aux personnes désirant commenter leurs publications de se connecter au moyen de ce type identité tout en leur permettant d’utiliser un pseudo.

Dès 2026, le projet e-ID, l’identité électronique développée par la confédération, devrait aussi avoir le potentiel d’apporter une solution pérenne au problème d’anonymat en ligne : e-ID, est une identité autosouveraine (SSI), respectivement une « identité numérique décentralisée ». Cette identité électronique permettrait aux utilisateurs-trice de gérer les différents éléments constitutifs de leur identité. Avec la possibilité de générer des jetons numériques qui prouvent uniquement ce qui est nécessaire, sans pour autant révéler l’entier de son identité. Par exemple, pour poster un commentaire sur un média en ligne, il est possible de prouver que l’on existe légalement sans pour autant divulguer son identité, y compris envers le média concerné. Cela préserve la liberté d’expression tout en rendant les utilisateurs responsables de leurs actions en ligne. En cas d’infraction, seules les autorités judiciaires auraient la capacité de lever cet anonymat et d’accéder à l’identité réelle de la personne concernée.

Pour ceux ou celles qui auraient peur d’un état trop intrusif, il est important de garder à l’esprit que dans le monde physique on doit être en mesure de prouver son identité et que l’identité de chaque citoyen.ne est connue par l’état, quoi qu’il en soit.

Néanmoins, la technologie ne règle pas tous les problèmes et les médias sont tributaires du bon fonctionnement de la justice. ll est donc important de fluidifier les processus légaux. C’est-à-dire, non seulement par un traitement rapide par la justice des infractions, mais aussi en offrant la possibilité pour les médias de déposer plainte en ligne.

Ce dispositif doit reposer sur un système axé sur la prévention. Il faut sensibiliser et responsabiliser, dès le scolaire, à la réalité et l’impact de nos propos dans l’espace numérique, qui est aussi un espace de société et de citoyenneté. La citoyenneté numérique le définit clairement avec comme élément central, le respect d’autrui. Pour les récidivistes, des cours de sensibilisation à la citoyenneté numérique devraient être mis en place.

Stéphane Koch

[Chronique écrite le 06.06.2023 et publiée le 30.08.2023, pour Cybercoachs et Le Nouvelliste]

La définition du périmètre scolaire s’étend désormais au-delà de l’espace physique pour inclure l’espace numérique, reflétant la manière dont les élèves interagissent entre eux en tant que groupe classe et la manière d’apprennent aujourd’hui. Un espace numérique qui est devenu tout aussi important pour l’éducation, le bien-être, le développement et la socialisation des élèves, que son pendant physique. Les écoles ont la responsabilité de comprendre et de naviguer dans cette nouvelle réalité, en veillant à ce que les valeurs qu’elles promeuvent soient respectées dans tous les aspects de la vie scolaire des élèves, qu’ils soient en ligne ou hors ligne.

Le Périmètre Scolaire Traditionnel
Traditionnellement, le périmètre scolaire est défini par les bâtiments scolaires, le préau et la cour, délimités matériellement par des lignes peintes au sol, des barrières, des murets, etc. Les zones d’accès aux bâtiments scolaires, leurs couloirs, leurs alvéoles, et les cours de récréation appartiennent à ce périmètre.

L’Extension du Périmètre Scolaire à l’Espace Numérique
Nonobstant, la définition du périmètre scolaire doit s’entendre désormais au-delà de l’espace physique pour inclure l’espace numérique, reflétant ainsi la manière dont les élèves interagissent entre eux en tant que groupe classe et la manière d’apprendre aujourd’hui. Un espace numérique qui est devenu tout aussi important pour l’éducation, le bien-être, le développement et la socialisation des élèves que son pendant physique. Les écoles ont la responsabilité de comprendre et de naviguer dans cette nouvelle réalité, en veillant à ce que les valeurs qu’elles promeuvent soient respectées dans tous les aspects de la vie scolaire des élèves, qu’ils soient en ligne ou hors ligne.

Les élèves sont de plus en plus connectés, interagissant non seulement face à face, mais aussi à travers diverses plateformes numériques que l’on peut considérer comme autant d’outils qui prédisposent à la construction du lien social. Ces interactions numériques, même si elles se produisent en bonne partie en dehors des murs de l’école, sont souvent directement liées à la mise en relation des élèves par le cadre scolaire. ? À ce titre, ces espaces numériques peuvent être considérés comme une extension du périmètre scolaire.

Cette extension du périmètre scolaire à l’espace numérique n’est pas sans conséquences, elle implique une responsabilité accrue pour les écoles, tant en ce qui concerne l’enseignement à la citoyenneté numérique (qui fait partie des visées prioritaires du Plan d’études romand (PER) de 2021), que de veiller à maintenir un environnement sûr et respectueux dans leurs espaces physiques. À ce titre, les écoles doivent aussi s’efforcer de promouvoir des interactions positives et respectueuses dans l’espace numérique.

L’éducation constitue un rempart essentiel contre la diffusion des discours de haine et autres théories racistes ou complotistes. Cela signifie que les valeurs que l’école cherche à inculquer – le respect, l’égalité, l’empathie sociale, l’ouverture à l’autre et la tolérance – doivent aussi être promues dans l’espace numérique. Les écoles ont la responsabilité de veiller à ce que ces valeurs du vivre ensemble soient respectées dans tous les aspects de la vie scolaire des élèves, y compris leurs interactions en ligne. Le respect de ces valeurs représente le ciment de l’éducation à la citoyenneté – dont l’importance a été rappelée récemment par la Commission fédérale pour l’enfance et la jeunesse (CFEJ) – que ça soit dans l’espace physique ou numérique de notre société. On ne le répétera jamais assez : les réseaux sociaux, c’est la « vraie » vie ou la « Vie réelle » !

En complément, quelque points de réflexion pour le milieu scolaire:

• Comprendre le périmètre scolaire numérique : c’est intégrer l’importance de l’éducation à la citoyenneté numérique et du rôle des réseaux sociaux et autres « connecteurs » humains – tels que les groupes de messagerie – dans la socialisation des élèves.
• Responsabilités de l’école : L’école a la responsabilité de veiller à ce que les valeurs qu’elle promeut dans l’espace physique soient également respectées dans l’espace numérique. Cela comprend la promotion d’un comportement respectueux et éthique, la protection de la vie privée et des données personnelles, et la prévention et la gestion des conflits. Ces démarches passent par la mise en place de programmes de prévention et de campagnes de sensibilisation créées par les élèves sous la supervision des enseignants.
• Définition de la citoyenneté numérique : La citoyenneté numérique, selon le PER, est la capacité à utiliser les technologies numériques et les médias sociaux de manière responsable et efficace. Cela comprend la compréhension des droits et des responsabilités en ligne, la protection de la vie privée et des données personnelles, la reconnaissance et la lutte contre la désinformation et le harcèlement en ligne, et la promotion d’un comportement éthique et respectueux sur Internet. L’importance de la cybersécurité et de la protection des données personnelles.
• Mise en place d’une charte d’utilisation des médias sociaux : Cette charte regroupe un ensemble de règles, de directives et recommandations qui régissent l’utilisation des médias sociaux par les élèves. Elle devrait être présentée et expliquée aux élèves de manière claire et compréhensible, et ensuite communiquée aux parents. Dans l’idéal les élèves contribuent à l’élaboration de la charte. Les élèves et les parents s’engageant ensuite à suivre les préceptes de cette charte. Cette charte peut être considérée comme un outil de gestion du périmètre scolaire numérique de l’école.
• Gestion des groupes WhatsApp créés par les élèves : L’école devrait offrir une médiation en cas de conflits au sein de ces groupes, en encourageant les élèves à signaler tout comportement inapproprié et en fournissant des conseils sur la manière de gérer les conflits en ligne de manière respectueuse et efficace. Des outils tel que la méthode de la préoccupation partagée peut être utilisés dans le cadre d’une médiation. Il est à ce titre important ‘d’identifier en amont les personnes et ressources utiles, et établir des protocoles d’intervention.
• Diversité et prévention sur les plateformes sociales : Il est important d’enseigner aux élèves comment respecter et apprécier la diversité sur les plateformes sociales, et comment se comporter de manière respectueuse et inclusive autant en ligne, que hors ligne. Cela peut inclure des discussions sur les stéréotypes et les préjugés, l’importance de l’empathie et du respect, et la manière de signaler et de répondre à la haine et à la discrimination en ligne. Les règlements scolaires, dont ceux qui font référence aux tenues, doivent aussi véhiculer les valeurs abordées dans le cadre de la lutte contre les préjugés et stéréotype de genre ou ceux liés à l’orientation sexuelle.
• Rôle des enseignants : Les enseignants jouent un rôle clé dans l’éducation numérique. Ils doivent être formés à l’utilisation des technologies numériques et des médias sociaux, et comprendre comment ils peuvent être utilisés pour soutenir l’apprentissage et le développement des élèves. Ils doivent aussi être en mesure de pouvoir identifier les potentiel pédagogique que peut représenter l’utilisation d’un smartphone, de jeux vidéo, ou d’applications mobiles.
• Rôle des parents : Les parents ont également un rôle à jouer dans l’éducation numérique de leurs enfants. Ils doivent être informés des politiques et des pratiques de l’école en matière de technologie numérique, et être encouragés à soutenir l’apprentissage numérique à la maison.
• Législation et politiques pertinentes : Il est important de comprendre les lois et les politiques qui régissent l’utilisation des technologies numériques et des médias sociaux dans le contexte scolaire. Cela peut inclure des lois sur la protection de la vie privée et des données, des politiques sur l’utilisation acceptable de la technologie, et des directives sur la gestion des conflits et du harcèlement en ligne.

Stéphane Koch

Suite au meurtre d’un adolescent par deux adolescent.e.s en Angleterre, des politiciens ont appelés à l’interdiction de l’accès au « Darknet ». La raison invoquée était que les assassins se seraient inspirés de vidéos de meurtres hébergées sur ce réseau, dans ce que l’on appelle des « Red room ». Jusque là, ça semble cohérent, mais comme à l’habitude le diable se cache dans les détails, et parfois aussi dans les recoins de ce réseau à l’apparence obscure on ne peut le nier. Mais qu’en est-il vraiment de sa capacité à formater le cerveau de nos ados ?

Pour commencer, le Darknet ou darkweb n’existe pas en tant que tel. Il s’agit d’un terme médiatique visant à qualifier une utilisation illicite du réseau TOR (The Onion Router), et bien que des actes violents et illégaux aient été rapportés sur ce réseau, aucune preuve concrète d’existence de Red rooms n’a été apportée jusqu’à ce jour. Les spécialistes s’accordent plutôt sur le fait que ces « chambres rouges » sont avant tout des mythes. De plus, il n’y a pas besoin d’aller sur TOR/le Darknet pour trouver des scènes hyperréalistes de violence, il suffit d’allumer la télé ou de se connecter à son service de streaming. C’est peut-être par là qu‘il faudrait commencer pour évaluer notre rapport à la violence à travers le traitement cinématographique que l’on en fait et son impact dans notre société.

Les termes « Darknet » et « Darkweb » peuvent être trompeurs et perpétuer des idées fausses sur la nature réelle du réseau TOR. Tor est un réseau informatique mondial décentralisé qui permet une navigation anonyme et privée sur Internet. Il achemine le trafic des utilisateurs à travers un vaste réseau de relais chiffrés, masquant ainsi leur identité et leur localisation réelles. Tor a été initialement conçu à des fins légitimes, telles que la protection de la vie privée, la liberté d’expression et le contournement de la censure. En plus de Tor, il existe d’autres réseaux décentralisés et anonymes similaires (I2P, Freenet, ZeroNet). Il n’y a rien d’illégal à utiliser TOR, du moins du moment que l’on respecte le cadre légal.

Tor héberge de nombreux sites web et services légitimes, tels que :

• Des sites d’information et de journalisme indépendants
• Des forums de discussion sur des sujets sensibles (politique, droits de l’homme, etc.)
• Des plateformes de communication sécurisées pour les lanceurs d’alerte et les activistes
• Des services de messagerie chiffrée et des outils de protection de la vie privée

Donc, interdire TOR, ne répond non seulement pas au nécessaire traitement de la question de la violence au sein de notre société, mais cela risque aussi d’affecter les libertés et la sécurité de personnes qui ont un besoin légitime de pouvoir bénéficier d’un certain anonymat. Comme pour les autres technologies, l’éducation, y compris celle des politiques, est la solution à privilégier.

Stéphane Koch

[Chronique écrite le 29.05.2024, pour Cybercoachs et Le Nouvelliste]

Dès juillet 2024, les alinéas 8 et 8bis de l’article 197 du Code pénal suisse vont être modifiés. « (…) L’alinéa 8 définit dorénavant comme non punissable une personne qui fabrique, possède ou consomme le matériel pornographique en impliquant des mineurs ou en le rendant accessible à trois conditions cumulatives, qui sont: le consentement de la personne figurant sur le support; une différence d’âge maximale de trois ans, pour éviter des situations de dépendance ou d’influence en raison de l’âge; aucune rémunération ou promesse de rémunération par la personne qui fabrique le support.

Même si ça peut faire peur à certains, ce changement législatif est plutôt une bonne chose. Avant, on avait tendance à imputer à la victime une part de responsabilité lorsqu’un contenu intime sur lequel elle figurait était rendu public sans son consentement, alors qu’elle n’a en aucun cas à porter la responsabilité des actes malveillants commis par des tiers avec son image. Dès lors, ce nouveau texte va permettre une meilleure reconnaissance des victimes en mettant toute la responsabilité de l’acte sur celui ou celle qui n’a pas respecté le contrat de confiance qui sied à l’échange de ce type de contenu. La honte va enfin pouvoir changer de camps, en se portant sur l’agresseur plutôt que l’agressé.e. D’autant plus qu’un nouvel article du CPS (197a) punit la transmission indue d’un contenu non public à caractère sexuel, de 1 à 3 ans de prison. Ce changement de loi est aussi l’opportunité de se focaliser sur ce que signifie réellement le consentement, pas juste un « oui », mais une conscience par chacun de l’autre.

À ce titre, Irène Théry, sociologue du droit, de la parenté et du genre, parle du consentement non comme un engagement contractuel, mais plutôt comme « une conversation érotique, où la séduction joue un rôle central. Le consentement sexuel est une dynamique relationnelle. Il se construit progressivement à travers les interactions, les gestes et les sentiments mutuels. En d’autres termes, le consentement sexuel est un processus continu où chacun exprime et respecte les désirs de l’autre.« . Une définition éclairée et éclairante.

Stéphane Koch

Dans une société qui se dématérialise un peu plus chaque jour, il est intéressant de se demander si les cybercriminels ont réellement toujours un temps d’avance, ou s’il s’agit juste d’une expression de la difficulté que l’on a à identifier et admettre nos propres manquements. Cet article vise à démystifier l’idée d’une forme d’omniscience cybercriminelle et à examiner les défis auxquels nous sommes confrontés en matière de cybersécurité.

L’expertise en cybersécurité n’est pas innée, elle est acquise. Les cybercriminels ne sont pas des êtres surnaturels, ils ne naissent pas experts, ils le deviennent grâce à une formation continue et une pratique constante. C’est une démarche proactive qui nécessite un investissement en temps et en ressources. De la même manière, les entreprises et les administrations peuvent développer une expertise similaire en investissant dans la formation de leur personnel. Cependant, il est nécessaire de reconnaître que cette formation doit être continue et adaptée aux évolutions constantes du paysage des menaces cybernétiques. Par exemple, le Danemark, qui est considéré comme le pays le plus sûr en matière de cybersécurité selon une étude de Comparitech de septembre 2022, investit fortement dans la formation en cybersécurité et a mis en place des initiatives pour encourager l’apprentissage continu dans ce domaine.

Les cybercriminels adoptent une approche de type startup pour mener leurs opérations. Ils sont organisés, utilisent les dernières technologies, adaptent rapidement leurs stratégies en fonction des nouvelles opportunités et des défis, et sont prêts à prendre des risques. Ils travaillent souvent en équipes distribuées, avec des membres spécialisés dans différents domaines. Ils abordent souvent leur attaque comme un projet, avec des objectifs spécifiques à atteindre. Tout comme une startup, ils ont des processus d’embauche et même des plans de carrière. Ils travaillent souvent sans horaires de bureau fixes, avec une grande flexibilité dans leurs horaires de travail. Et ils ont même des services clients. C’est sans juste au niveau des salaires que cette métaphore trouve ses limites… et c’est là une partie du problème.

La porosité humaine de nos infrastructures

Une grande partie des cyberattaques réussies peuvent être attribuées à la vulnérabilité humaine. Que ce soit par le biais de l’hameçonnage, de l’ingénierie sociale ou d’autres tactiques, les cybercriminels exploitent souvent les failles humaines pour pénétrer nos systèmes. C’est pourquoi il est primordial d’améliorer la littératie numérique de la population. Il s’agit d’un enjeu national, notre fédéralisme ou chaque canton agit un peu comme bon il lui semble est un frein à une acquisition homogène des connaissances nécessaires, et l’hétérogénéité des niveaux de connaissance contribue à la porosité du système face aux cyberattaques. L’éducation au numérique doit être intégrée dans le curriculum scolaire et sanctionnée par des examens, tout comme les autres matières fondamentales. Cela permettrait non seulement de renforcer la résilience individuelle face aux cyberattaques, mais aussi de créer une culture de la cybersécurité au sein de la société, chaque citoyen étant constitutif de notre capacité de résilience face aux risques cybernétiques. Des pays comme l’Estonie ont déjà intégré l’éducation numérique dans leur système scolaire. « Pour créer une société cyber-consciente, les directives estoniennes en matière d’éducation suggèrent que les élèves commencent à faire leurs premiers pas à la maternelle. Outre les programmes officiels et le matériel didactique, les programmes d’informatique non formels et les concours de formation soutiennent l’utilisation de la sensibilisation à la sécurité numérique dans les écoles et les foyers. Le Center for Digital Forensics and Cyber ​​Security a eu un impact significatif. Plus de 150 000 élèves à partir de 7 ans et 5 000 enseignants ont participé à leurs programmes de 2017 à 2021. », Peeter Vihma, Chercheur en sciences sociales à l’université d’Helsinki et à l’université estonienne des sciences de la vie. Un modèle dont la Suisse ferait bien de s’inspirer.

Renforcer le cadre législatif

Afin d’aligner son cadre législatif sur la Directive NIS2/SRI2 de l’UE, la Suisse pourrait envisager plusieurs améliorations. À l’instar de NIS2, la Suisse pourrait mettre en place des mécanismes de supervision pour les opérateurs de services essentiels et les fournisseurs de services numériques. Ces mécanismes permettent de s’assurer que ces entités respectent les obligations de sécurité et de notification des incidents. De plus, la Directive NIS2 prévoit la mise en place d’un cadre de certification de cybersécurité de l’UE pour les produits, services et processus de TIC et les fournisseurs de services numériques, garantissant ainsi le respect des obligations de sécurité et la notification des incidents (il existe déjà une politique de notification des incidents dans l’Article 74b de la Loi fédérale sur la sécurité de l’information au sein de la Confédération (LSI), mais la législation européenne semble couvrir un spectre plus large). L’extension du champ d’application pour inclure les fournisseurs de services numériques, tels que les plateformes en ligne et les services de cloud computing. Ces entités sont tenues de prendre des mesures appropriées pour gérer les risques liés à la sécurité de leurs réseaux et systèmes d’information et de notifier les incidents de sécurité ayant un impact significatif sur la continuité de leurs services. De plus, la protection des consommateurs pourrait être renforcée, la NBIS2 prévoit des mesures pour améliorer la transparence et l’information des consommateurs sur les incidents de sécurité affectant les services numériques..

Créer un index de confiance numérique

La cybersécurité a un impact direct sur l’économie. Les cyberattaques peuvent entraîner des pertes financières importantes, affecter l’emploi et freiner l’innovation, en Suisse elles représentent plusieurs milliards par années. Un index de confiance numérique pourrait aider à quantifier cet impact et à identifier les domaines qui nécessitent une attention particulière. Cet index pourrait inclure des indicateurs tels que le nombre de plaintes pénales liées aux cyberattaques, le nombre de cyberattaques identifiées et le nombre de ces procédures qui ont abouti au niveau juridique. En outre, il pourrait également prendre en compte l’impact des cyberattaques sur l’emploi, comme les pertes d’emploi dues à des attaques par rançongiciel ou l’incapacité d’une entreprise à embaucher du personnel. Nonobstant, il est difficile d’évaluer précisément cet impact à l’heure actuelle. Pour pouvoir le faire il est essentiel que tous les acteurs de la cybersécurité, les institutions et les entreprises travaillent ensemble afin d’obtenir des données statistiques homogènes et fiables. Ce qui permettrait finalement de disposer d’un indicateur fiable de notre capacité de résilience face aux cyberattaques.

Quelle stratégie de détection et divulgation active des failles de sécurité ?

Le “Vulnerability Equity Process” (VEP) est une autre préoccupation importante liée à la nécessaire coopération entre les états en matière de cybersécurité. Il s’agit d’un processus interne mis en place par certains gouvernements pour évaluer et décider si la découverte d’une faille informatique inconnue du public (0day, zero-day), doit être divulguée aux fabricants de logiciels, aux entreprises et au public, ou bien conservée secrète pour des raisons de renseignement et de sécurité nationale. Les approches divergentes des pays alliés en matière de VEP peuvent également compliquer la situation. À ce titre, Le VEP a été critiqué pour son manque de transparence et de responsabilité. Par exemple les Five Eyes qui, désigne l’alliance des services de renseignement de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis), ont établi des feuilles de route qui sont réservées à leur alliance en matière d’exploitation de vulnérabilités informatiques non référencées (zero day), et donc pas nécessairement connues de leurs alliés en dehors des Five Eyes. Ce qui soulèvent des questions importantes sur l’éthique de la rétention des vulnérabilités logicielles par les gouvernements. Alors que ces pratiques peuvent aider à protéger la sécurité nationale, elles peuvent également mettre en danger le grand public si ces vulnérabilités sont découvertes et exploitées par des acteurs malveillants. Une stratégie de détection proactive des vulnérabilités qui implique autant les acteurs privés que publics est l’un des moyens de renforcer notre résilience. Dès lors, la question se pose : Quelle stratégie pour la Suisse ? Comment se déroule la collaboration au niveau européen ?

Donnons-nous les moyens de développer notre expertise plutôt que mettre en avant celle des cybercriminels

En juin 2023, la Suisse à connu une série d’attaques par Déni de services (DDoS) plusieurs dizaines de sites web ont été rendus inaccessibles, dont plusieurs sites gouvernementaux, mais aussi les CFF, l’aéroport international de Genève, ou encore ceux de l’Association des Banquiers Privés Suisses, de Genève place financière et de l’Association Suisse des Banques, entre autres. Et ces attaques venaient s’ajouter à la diffusion sur le Darknet de milliers de Gigabit de données de données sensibles depuis de le début de l’année. Et ces attaques ne sont malheureusement qu’une petite partie de celles subies par les entreprises, institution et citoyens suisses. Ces incidents soulignent l’importance de la cybersécurité et la nécessité d’investir dans la formation, l’éducation au numérique et d’avoir une gestion une gestion proactive des vulnérabilités. D’autant plus que l’une des richesses de la Suisse, c’est sa capacité à produire du savoir et la qualité de ses écoles. Et, en termes de cybersécurité, ce n’est pas non plus l’expertise qui manque, mais le pays, son administration, ses entreprises sont en manque d’experts. En fin de compte, la question n’est pas de savoir si les cybercriminels ont toujours un temps d’avance, mais plutôt de savoir comment nous pouvons rattraper notre retard et renforcer notre résilience face aux cyberattaques, car nous en avons les moyens.

Directive (UE) 2016/1148
Directive sur les mesures pour un haut niveau commun de cybersécurité dans l’Union (NIS2 Directive)
Ordonnance sur la protection des infrastructures critiques (OIC)
Stratégie suisse de cybersécurité (CSN)
– Objectifs et mesures de la CSN
– Principes de la CSN
– Groupes cibles de la CSN

[10.06.2023] Les différentes formes de discriminations agissent fréquemment comme un vecteur du harcèlement et cyberharcèlement. Elles touchent de nombreuses personnes, et, en particulier, les jeunes. Les conséquences peuvent être dévastatrices, allant de l’angoisse à la dépression, jusqu’à dans des cas extrêmes au suicide. Dans ce contexte, les avatars intelligence artificielle peuvent représenter une approche novatrice pour lutter contre ce type de fléau.

Un des défis dans la lutte contre les différentes formes de discriminations, et le cyberharcèlement qui peut en résulter, est la protection des victimes. Dans un certain nombre de cas, les personnes qui ont été stigmatisées, agressées en ligne, qui ont subi le racisme ou qui ont été exposées à des messages de haine, hésitent à partager leurs expériences par peur de représailles. C’est à ce niveau qu’un avatar animé par une intelligence artificielle peut jouer un rôle intéressant. En utilisant ce type d’avatar, que l’on peut trouver auprès de services tels que Synthesia ou Heygen (exemple vidéo plus bas), il est possible de partager des témoignages sans exposer les victimes ni leur créer une forme d’identité numérique liée à leur témoignage.

Ces avatars IA, mais dont le discours est basé sur un textes produit par l’humain à l’origine du témoignage (afin d’éviter toute forme d’appropriation du message, que ça soit de genre ou culturel), peuvent être utilisés pour faire de la prévention dans divers domaines sensibles tels que le harcèlement, la santé mentale, l’estime de soi, la sexualité et la pornodivulgation, le racisme et toute autre forme de discrimination. L’utilisation d’avatars IA offre plusieurs avantages : en premier lieu, elle protège l’identité de la personne qui s’exprime, ce qui est primordial quand on traite des sujets aussi sensibles. De plus, pour les personnes qui partagent leurs expériences traumatisantes le fait d’exprimer son ressentit à travers ces avatars, peut potentiellement avoir un effet thérapeutique. En partageant leurs expériences sans craindre d’être identifiées, elles peuvent commencer à guérir et à renforcer leur confiance en soi. Parallèlement, ces témoignages servent de matériel pédagogique pour les autres utilisateurs-trices, qui peuvent apprendre de ces expériences sans connaître l’identité réelle de la personne derrière l’avatar, tout en pouvant quand même s’identifier à celle-ci au niveau de leur propre vécu. Le message, quant à lui, reste une création à 100% humaine. Même si aujourd’hui les avatar IA sont imparfaits au niveau de leur capacité à exprimer des émotions, il y a un fort potentiel d’amélioration de leur capacité à le faire de mieux en mieux dans un proche avenir.

Par exemple, si on prend le cas d’une campagne de sensibilisation contre le cyberharcèlement, l’utilisation d’avatars IA permet de proposer de multiples intervenants tout en conservant l’aspect humain du message. Une personne physique écrit le message et c’est l’avatar qui le transmet. Les avatars peuvent exprimer des émotions et interagir de manière réaliste, ce qui peut rendre le message plus engageant et efficace. Sur Tiktok, par exemple, les avatars peuvent également être utilisés pour répondre en vidéo de manière plus exhaustive, alors que le champ destiné aux commentaires par écrit est limité à 150 caractères.

En outre, en cas de harcèlement de meute contre un avatar, les réponses seraient plus faciles à gérer. Les personnes en charge de la campagne ne seraient pas affectées dans leur santé mentale par les commentaires négatifs ou malveillants des détracteurs, car ils seraient dirigés vers l’avatar et non vers une personne réelle. Et de nombreuses personnes, y compris celles qui auraient été victimes de cyberharcèlement pourraient participer à la rédaction des messages de réponse diffusés ensuite par les avatars, sans pour autant s’exposer personnellement.

L’acceptation des avatars IA, en particulier par les jeunes, est un élément clé de leur utilisation dans la lutte contre le cyberharcèlement ou, plus généralement, dans le domaine de la prévention. Le succès de personnages virtuels tels que les mannequins Lil Miquela, Shudu Gram, ou Noonoouri, le footballeur Alex Hunter, ou encore la chanteuse hologramme japonaise Hatsune Miku, montre que les avatars peuvent être perçus comme des interlocuteurs légitimes. Pour favoriser cette acceptation, les avatars doivent être attrayants, engageants et offrir une interaction naturelle. La sensibilisation du public à leur utilité est également essentielle. Bien gérée, cette approche peut constituer une nouvelle stratégie efficace pour lutter contre le cyberharcèlement ou dans d’autres domaines de prévention et aider les victimes à partager leurs expériences en toute sécurité.

Stéphane Koch

Voir aussi, en complément :

• Métavers et virtuel: l’apprentissage au discernement du réel un enjeu de l’éducation aux médias (article/chronique)
• Rethinking cultural appropriation ethics in an AI-generated world (article)
• AI Enabled Chatbot for regulating Mental Health [2023] Cette étude a montré que les gens sont plus ouverts dans les discussions en ligne que dans les consultations en face à face. Cela suggère que les avatars de l’IA pourraient constituer une plateforme sûre et anonyme permettant aux jeunes de partager leurs expériences et de demander de l’aide. Toutefois, l’étude souligne également que les outils d’IA ne peuvent pas remplacer le soutien humain et les services professionnels de santé mentale
  
• Towards an AI-driven talking avatar in virtual reality for investigative interviews of children [2022] Cette étude est particulièrement pertinente pour le concept d’utilisation d’avatars animés par l’IA à des fins de prévention auprès de la jeune génération. Elle démontre le potentiel des avatars d’IA à fournir une plateforme sûre et anonyme permettant aux jeunes de partager leurs expériences et de demander de l’aide. Elle souligne également l’importance de l’acceptation par les utilisateurs et de la qualité perçue de l’expérience dans la mise en œuvre réussie de tels systèmes. Cependant, il est important de noter que cette étude se concentre sur une application spécifique des avatars d’IA (c’est-à-dire la formation aux entretiens pour le personnel de la CPS (protection de l’enfance)), et que les résultats peuvent ne pas se traduire directement dans d’autres contextes.
• The multifaceted construct of attitudes: Age- and gender-related perspectives on AI, robotics and their users [2022] Cette étude a montré que les gens sont plus ouverts dans les discussions en ligne que dans les consultations en face à face. Cela suggère que les avatars de l’IA pourraient constituer une plateforme sûre et anonyme permettant aux jeunes de partager leurs expériences et de demander de l’aide. Toutefois, l’étude souligne également que les outils d’IA ne peuvent pas remplacer le soutien humain et les services professionnels de santé mentale
• My AI Friend : How Users of a Social Chatbot Understand Their Human-AI Friendship [2022] Cette étude explore le concept d’amitié entre l’homme et l’IA. L’étude a été réalisée au moyen de 19 entretiens approfondis avec des personnes qui entretiennent une relation d’amitié entre l’homme et l’IA avec le chatbot social Replika. L’objectif était de découvrir comment ils comprennent et perçoivent cette amitié et comment elle se compare à l’amitié humaine. Les résultats indiquent que si l’amitié entre humains et IA peut être comprise de la même manière que l’amitié entre humains, la nature artificielle du chatbot modifie également la notion d’amitié de multiples façons. Par exemple, elle permet une amitié plus personnalisée, adaptée aux besoins de l’utilisateur. L’étude examine également les principales caractéristiques de l’amitié, telles que le volontariat et la réciprocité, l’intimité et la similarité, la divulgation de soi, l’empathie et la confiance, et la manière dont ces caractéristiques se traduisent dans la compréhension de l’amitié entre l’homme et l’IA. L’étude conclut que si ces caractéristiques clés peuvent également s’appliquer à l’amitié entre l’homme et l’IA, des nuances importantes doivent être apportées, telles que les possibilités limitées de réciprocité.
• Human Trust in Artificial Intelligence: Review of Empirical Research [2020] Cette étude empirique fournit des informations qui peuvent être appliquées à l’utilisation d’avatars animés par l’IA à des fins de prévention auprès de la jeune génération ::
  • Confiance dans l’IA : la compréhension des facteurs qui influencent la confiance dans l’IA peut aider à concevoir des avatars animés par l’IA auxquels les jeunes sont plus susceptibles de faire confiance et de s’engager.
  • Forme de représentation de l’IA : La conception des avatars de l’IA, y compris leur apparence et leur expression émotionnelle, peut influencer de manière significative leur acceptation par les jeunes.
  • Transparence et fiabilité : Les avatars d’IA doivent être transparents (les utilisateurs doivent comprendre pourquoi ils donnent certains conseils) et fiables (ils doivent fournir des informations cohérentes et exactes) pour être efficaces dans les efforts de prévention.
  • Comportements immédiats : Les avatars de l’IA doivent adopter des comportements tels que la proactivité, l’écoute active et la réactivité afin d’instaurer un climat de confiance avec les jeunes.
  • Caractéristiques de la tâche : Les avatars IA pourraient être mieux acceptés dans certaines actions de prévention que dans d’autres, en fonction des forces et des faiblesses perçues de la technologie de l’IA.
• Your Robot Therapist Will See You Now: Ethical Implications of Embodied Artificial Intelligence in Psychiatry, Psychology, and Psychotherapy
  • Les avatars de l’IA peuvent offrir de nouvelles possibilités de traitement, en atteignant des populations que les méthodes traditionnelles ne peuvent pas atteindre.
  • Les avatars d’IA peuvent protéger l’autonomie et la vie privée des patients, en réduisant la gêne ou la honte.
  • L’utilisation d’avatars d’IA a des implications éthiques et sociales, notamment l’évaluation des risques, la transparence dans l’utilisation des algorithmes et les préoccupations concernant les effets à long terme.
  • Il est nécessaire d’établir des lignes directrices éthiques pour la création et l’utilisation d’avatars d’IA, en abordant des questions telles que la prévention des dommages, l’éthique des données et les lacunes des cadres éthiques et réglementaires.
• Artificial intelligence and Psychiatry: An overview Cet article examine la compréhension actuelle de l’IA, ses types, son utilisation actuelle dans divers troubles de santé mentale, son statut actuel en Inde, ses avantages, ses inconvénients et ses potentiels futurs.

La version audio de l’article ci-dessous a été produite avec NoteBookLM de Google

[15.06.2023 / Publié en février 2024, dans le N°867, de la Revue Défense Nationale ] Dans le contexte de la dématérialisation croissante de notre société, le concept de guerre a évolué au-delà du champ de bataille traditionnel. Le numérique a permis aux belligérants et à leur soutien d’amener l’ex-territorialisation des conflits et leur omnidirectionnalité à niveau encore jamais atteint. Il n’y a plus de distinction entre ce qui est ou n’est pas un champ de bataille. Tout comme il est difficile de définir si un pays qui fait l’objet d’attaques cybernétiques liées à un conflit en cours en devient implicitement un belligérant. L’espace numérique technologique, qui sert de lien entre les espaces naturels et sociaux de notre monde physique et son pendant numérique, est devenu un champ de bataille majeur. Les lieux d’échanges sociaux, la politique, l’économie, la culture et la psychologie sont également autant les armes que la cible d’une guerre cognitive, qui a pour objectif la conquête de notre cerveau.

Cette guerre cognitive se joue, en partie, au niveau de la conquête des opinions, de l’amplification de nos incertitudes, ou encore de la fragilisation du lien de confiance envers les institutions. Quelle que soit notre opinion ou notre religion, nous sommes pris en otages, pris à partie, pris à témoin ou encore désignés coupables. On pourrait penser qu’il suffit de tout éteindre pour se déconnecter d’un conflit… Cela ne sera pas suffisant, les guerres ne s’invitent pas que sur nos écrans, que ça soit sur ceux de nos smartphones ou de nos télévisions, mais elles s’invitent aussi parfois dans nos rues, où elle vient ancrer sa dimension traumatique, relayée mille fois déjà sur les médias sociaux. On peut se demander si ces prises de position, ces opinions, ces émotions que suscite l’horreur de ces situations que l’on dénonce nous appartiennent vraiment, ou, est-ce que ce sont juste l’aboutissement de stratégies guerrières modernes…

C’est dans cet espace « hors du périmètre physique du conflit » que les adversaires déploient des efforts considérables pour se battre, en utilisant des outils et des tactiques numériques plutôt que des armes traditionnelles. «Un thème abordé aussi dans « Unrestricted Warfare« , un ouvrage publié en 1999 par Qiao Liang et Wang Xiangsui, deux colonels de l’armée chinoise, lequel abordait propose des tactiques pour compenser leur infériorité militaire dans une guerre de haute technologie. Les stratégies suggérées dans ce livre comprenaient déjà le piratage de sites web, le ciblage d’institutions financières, l’utilisation des médias et la conduite d’une guerre urbaine. Bien que l’ouvrage ait fait l’objet de critiques, il est intéressant de faire un parallèle entre certaines des idées qui y sont développées et le contexte actuel de l’utilisation des plateformes sociales et des cyberattaques dans le cadre de la guerre que mène la Russie contre l’Ukraine.

Guerre cognitive et stratégie d’influence

Les plateformes sociales sont devenues le nouveau champ de bataille de la guerre de l’information et de la guerre psychologique. Les gouvernements et leurs forces armées, dont leurs « branches cyber » utilisent de plus en plus des « unités d’opérations d’information » et des « unités d’opérations psychologiques » pour influencer l’opinion publique, respectivement la perception d’un conflit et/ou les motivations supposées des belligérants. Sur ce nouveau théâtre d’opérations, les plateformes de réseaux sociaux servent d’instruments d’influence et de manipulation.

La relation asymétrique qui existe au niveau des réseaux sociaux est un facteur critique dans cette nouvelle forme de guerre. Par exemple, la plateforme chinoise TikTok offre (théoriquement) un accès à des milliards de smartphones dans le monde. Cependant, les pays occidentaux n’ont pas le même type « d’accès » à la population chinoise, pour qui l’accès aux plateformes sociales américaines est restreint. Il en va de même en Russie. Si on la met en abime avec les régimes autoritaires, qui interdisent à leurs citoyens d’utiliser des services de réseautage social étrangers, Il y a une réelle asymétrie en termes de potentiel d’influence avec les régimes démocratiques où la liberté d’expression permet aux pays non démocratiques d’influencer les opinions occidentales.

En effet, si les sociétés démocratiques valorisent et protègent la liberté d’expression, cette ouverture peut être exploitée par la Russie pour diffuser de la désinformation et distiller le doute au sein des populations européennes sur le bien-fondé du soutien à l’Ukraine. L’utilisation des plateformes sociales à des fins d’influence et les cyberattaques visant à perturber les services et à instiller la peur représentent un défi de taille pour les sociétés démocratiques. La récente « opération Doppelgänger » dénoncée par la France est aussi un exemple qui illustre bien cette notion de guerre sans restriction dont l’utilisation du champ informationnel représente un espace de prédilection pour la diffusion de fausses informations. Cette opération de désinformation qui s’est appuyée dans un premier sur de faux sites miroirs de grands médias nationaux ou d’institutions gouvernementales a visé des médias en France et dans neuf autres pays d’Europe, d’Amérique et du Moyen-Orient. L’objectif était de mener une campagne de désinformation d’ampleur contre l’opinion française. Une seconde phase de l’opération Doppelgänge comprend la production de dessins animés anti-Zelensky ou de narratifs prorusses, relayés notamment par des sites aux noms à consonance française. De faux comptes ont été créés sur les réseaux sociaux, principalement Facebook et Twitter, pour partager ces fausses informations. La France à accusé des ambassades et de centres culturels russes d’avoir relayé et amplifié cette campagne de désinformation.

Les cyberattaques : La nouvelle arme de prédilection

Les cyberattaques sont devenues un outil courant dans l’arsenal de la guerre sans restriction. Un exemple récent qui illustre bien le concept est celui des attaques DDoS (attaque par déni de service) contre les sites web du gouvernement suisse et d’autres dans le courant du mois de juin 2023, par un groupe de pirates informatiques Noname057(16), un des groupes prorusses les plus actifs dans ce domaine, qui pour renforcer sa capacité de nuisance, s’appuie sur DDosia Project, un modèle de cyberattaque participatif, basé la mise à disposition d’un logiciel permettant de participer aux attaques par déni de service sans nécessiter de connaissance technique et d’être rémunérés pour leur participation. Le groupe a réussi à rendre inaccessibles plusieurs dizaines de sites web (50 au minimum), dont des sites gouvernementaux fédéraux suisses, dont le site du Parlement Suisse, du Département militaire (DDPS), de l’Office fédéral de la police (Fedpol), du Département fédéral de justice et police (DFJP) des sites d’administrations cantonales de plusieurs villes, mais aussi les Chemins de fer fédéraux suisses (CFF-SBB), l’aéroport international de Genève, d’autres aéroports ou aérodromes suisses, ou encore ceux de l’Association des Banquiers Privés Suisses (ABPS), de Genève place financière, et de l’Association Suisse des Banques (ASB), entre autres. Leurs attaques étant ensuite listées dans leur canal Telegram. Ces attaques ont coïncidé avec l’adoption par la Suisse d’un nouveau train de sanctions de l’UE contre la Russie et avec les préparatifs d’un discours vidéo du président ukrainien Volodymyr Zelenskiy. Le but de ce type d’attaque n’est pas de voler des données, mais de rendre l’accès au service impossible en l’inondant de requêtes (un peu comme si on ajoutait subitement 100000 voitures sur l’autoroute entre Genève et Lausanne à une heure de pointe). 

(CyberTracker 23 — May 2023 —  cyberknow.medium.com/update-23-2023-russia-ukraine-war-cybertracker-may-03-efeb21056713)

Outre les attaques DDoS, des attaques par Ransomware ont également été utilisées pour cibler des entreprises et des organisations gouvernementales suisses. Les attaquants ont publié des données sensibles sur le darkweb, dont le caractère stratégique de certaines de données est à même de mettre en danger le modèle économique ou la capacité concurrentielle des entreprises concernées.

La ligne de front cybernétique dans la guerre entre la Russie et l’Ukraine

La guerre actuelle que la Russie mène contre l’Ukraine est un exemple concret de la manière dont le concept de guerre sans restriction peut s’appliquer à l’ère numérique. Les groupes identifiés comme prorusses sont à l’heure actuelle plus nombreux que ceux identifiés comme groupes pro-ukrainiens, et ils améliorent autant leurs capacités que l’intensité de leurs attaques en dehors des limites du champ militaire opérationnel classique pour, selon toute vraisemblance, répondre à une dynamique du conflit sur son théâtre physique ou le gouvernement russe semble peiner à atteindre les objectifs militaires qu’il s’est fixés. Ces groupes se tournent de plus en plus vers la cybercriminalité, avec le soutien implicite et, dans certains cas, opérationnel, du gouvernement russe, ce qui ne peut qu’améliorer encore leurs capacités d’attaque. Fragiliser et affaiblir la dynamique et le potentiel économique d’un pays rentre tout à fait dans le concept de guerre sans restriction.

D’un autre côté, les groupes pro-Ukraine sont moins nombreux, néanmoins l’IT Army Ukraine fédère en son sein différents courants et, à ce titre, compte un grand nombre de personnes susceptibles de soutenir l’Ukraine dans des activités hacktivistes ou de cyberattaques. De nombreux groupes affiliés aux Anonymous opérèrent aussi en soutien à l’Ukraine dans le cadre de ce conflit sur d’autres cibles, mais ne s’en prennent pas exclusivement à la Russie. Nonobstant, les ressources cybernétiques citées telles que IT Army Ukraine ou les Anonymous n’ont pas, à ma connaissance, vocation à protéger les infrastructures informatiques des pays européens.

Souveraineté numérique et cybersécurité

La prévalence croissante des cyberattaques souligne l’importance de la souveraineté numérique pour toutes les nations. La souveraineté numérique fait référence à la capacité d’un pays à contrôler son propre espace numérique, y compris ses données, son infrastructure numérique et ses services numériques. Cela inclut la capacité à protéger son espace numérique contre les menaces extérieures, telles que les cyberattaques à large spectre auxquelles nous faisons face actuellement. Être « souverain numériquement » signifie aussi qu’il faut être en mesure de se remettre rapidement des attaques et d’en minimiser l’impact. Ce qui implique l’élaboration d’un plan solide de réponse aux incidents et l’investissement dans les technologies et les compétences en matière de cybersécurité.

Le concept de « Cloud souverain » s’inscrit dans cette notion plus large de souveraineté numérique. La cybersécurité nécessite une approche à plusieurs niveaux, combinant des mesures techniques avec des initiatives juridiques, organisationnelles et éducatives. L’importance de cette capacité de résilience face aux cyberattaques qui peuvent menée contre les infrastructures régaliennes ne semble pas faire partie des considérations, du moins de manière explicite de « l’Étude d’opportunités pour un cloud souverain » parue en mai 2023, sur mandat de la Conférence latine des directrices et directeurs cantonaux du numérique.

Développer autant notre capacité de résilience que notre niveau d’éducation

Le concept de guerre sans restriction a trouvé un nouveau souffle à l’ère numérique. L’utilisation des plateformes sociales pour la guerre cognitive et les cyberattaques comme arme de choix soulignent la nécessité de mesures de cybersécurité solides et d’une bonne maîtrise de l’information. Alors que le champ de bataille continue d’évoluer hors de ses limites physiques, nos stratégies de défense et de résilience doivent elles aussi évoluer. D’autant plus que ce champ de bataille doit être compris aussi par rapport à des enjeux de guerre économique. La guerre actuelle entre la Russie et l’Ukraine nous envoie un signal fort sur les réalités de cette « nouvelle » forme de guerre et la nécessité d’une stratégie proactive (et non juste réactive) d’une adaptation constante face à l’évolution des menaces. L’augmentation des cyberattaques, notamment des attaques DDoS, montre clairement que la souveraineté numérique, y compris la notion de « Cloud souverain », doit inclure une résilience contre ces types d’attaques. Elle nous rappelle également que la cybersécurité et la lutte contre la désinformation sont des défis complexes qui nécessitent une approche globale et multicouche, dont l’éducation est un des piliers centraux et prioritaires.

À titre d’exemple, l’Estonie a utilisé efficacement l’éducation aux médias comme outil de sécurité nationale pour lutter contre la désinformation. À la suite d’une campagne de désinformation et d’une cyberattaque en 2007, l’Estonie est devenue un leader en matière de cybersécurité et a mis en place une éducation aux médias de la maternelle au lycée, avec notamment un cours obligatoire de 35 heures sur les médias et l’influence pour élèves de 10e année. L’approche de l’Estonie en matière d’éducation aux médias est globale : elle intègre l’éducation aux médias dans différentes matières et laisse aux écoles une certaine marge de manœuvre pour atteindre les normes éducatives nationales.

Tant la littératie numérique, celle touchant à la cybersécurité que celle informationnelle, sont devenues des enjeux démocratiques fondamentaux, tant pour préserver notre démocratie que pour faire des choix démocratiques éclairés sur le futur de la transformation numérique de notre société.

Stéphane Koch
Vice-président d’ImmuniWeb SA
A global provider of web, mobile and API Application Security Testing (AST) and Attack Surface Management (ASM).

Mes coordonnées:
Mon numéro de mobile: +41796075733
Je suis atteignable par WhatsApp: https://wa.me/41796075733
Ou pas Facebook Messenger: https://m.me/stephanekoch

L’emplacement de mon domicile sur Google Street View:
Rue des Corps-Saints 4, 1201 Genève

(il y a maintenant une grande porte en fer, qui n’est pas encore sur Google Map, voir une photo de celle-ci sous « comment utiliser le digicode », ci-dessous)

Je suis à 600 mètres de la gare Cornavin, la gare centrale de Genève, ou de la gare routière.

Depuis l’aéroport: Pour arriver jusque chez moi: soit le bus ligne N°10 (ou la ligne N°5), jusqu’à l’arrêt « Coutance » (https://goo.gl/maps/GtH2o54BkiCAaU8c9), ça vous situera à moins de 200 mètres de chez moi.
Le site des transports publics genevois: www.tpg.ch/)

Depuis la gare Cornavin, vous pouvez utiliser ce plan sur Google Map:
http://bit.ly/CornavintoCorpsSaints4).

Comment utiliser le Digicode:

Pour information : une fois que vous avez franchi la première porte, il y a une autre porte à l’intérieur que vous devez franchir dans un temps limité.
Mon appartement est au 5ème étage

Si nécessaire, vous pouvez télécharger l’image ci-dessous ici: www.intelligentzia.ch/blog/wp-content/uploads/2022/09/digicode-corps-saints01.jpg

Une fois que j’ai ouvert la première porte il faut passer la deuxième rapidement.

Wifi gratuit à l’aéroport de Genève ainsi que dans les gares et en ville:
www.geneva.info/free-wifi/
www.gva.ch/en/Free-WiFi-GVA-Welcome
www.sbb.ch/en/station-services/at-the-station/railway-stations/products/free-wifi.html

Dans ce cas, l’auteur propose de créer un fichier qui peut être lu comme une vidéo normale par n’importe quel lecteur vidéo, mais qui contient également un volume VeraCrypt caché. Ce volume peut être monté et lu comme un volume VeraCrypt normal lorsque la clé de déchiffrement correcte est fournie.

La méthode implique la création d’un volume VeraCrypt caché, puis l’utilisation d’un script Python pour modifier le fichier VeraCrypt et y ajouter les données de la vidéo. Le script réarrange également certaines parties du fichier pour que le volume VeraCrypt soit caché à l’intérieur du fichier vidéo.

Cette technique peut être utile pour cacher des données sensibles à la vue de tous. Par exemple, si quelqu’un inspectait votre ordinateur ou vos fichiers, il verrait simplement un fichier vidéo normal et ne se douterait pas qu’il contient également un volume VeraCrypt caché.

Example: la vidéo ci-dessous contient un volume caché de 10Mo:

(Sacha Baron Cohen stole the show at the BAFTA Los Angeles Jaguar Britannia Awards Saturday 9th November 2012 evening at the Beverly Hilton Hotel, source BBC America)

• Source vidéo / fichier MP4
• The KeyFile (pour ouvrir le volume)

Marche à suivre pour réaliser ce type de volume caché:

Si vous ne savez pas comment utiliser VeraCrypt, alors suivez le tuto  Paf le Geek

Un résumé de la démarche proposée par Martin Fiedler dans son article (je conseil bien sûr de se référer à l’article source):

1. Trouver une vidéo appropriée :
   • Choisissez une vidéo en format QuickTime ou MP4 à utiliser comme déguisement. La vidéo doit être encodée de manière très efficace pour qu’une augmentation de la taille du fichier soit crédible par rapport à la longueur et à la qualité de la vidéo.
2. Créer un nouveau volume VeraCrypt caché :
   • Utilisez l’assistant de création de volume de VeraCrypt pour créer un nouveau volume caché.
   • Utilisez le nom du fichier hybride final comme nom de fichier conteneur, par exemple « VideoInnocente.mp4 ».
   • Pour la taille du volume externe, entrez l’augmentation maximale estimée de la taille du fichier à partir de l’étape 1.
   • Ne vous embêtez pas à entrer un bon mot de passe pour le volume externe, il sera de toute façon détruit.
   • Utilisez la taille maximale possible pour le volume caché. Entrez la taille en KB au lieu de MB et faites un peu de devinettes – le bouton « Suivant » dans l’assistant est désactivé lorsque la taille est trop grande. Trouvez la taille maximale où le bouton est toujours cliquable.
   • Utilisez votre vrai mot de passe ultra-secret ou votre fichier de clés pour le volume caché.
   • Ne montez pas le volume externe ! Vous risquez de détruire le volume caché sinon.
3. Utiliser le script :
   • Vous aurez besoin d’un script Python pour effectuer la prochaine étape. Vous pouvez utiliser le script fourni dans l’article, mais assurez-vous de le faire avec l’aide d’un adulte ou d’une personne qui connaît bien Python.
   • Utilisez le script comme suit : python tcsteg.py SomeVideo.mp4 VideoInnocente.mp4
   • Cela modifiera le fichier conteneur VeryCrypt sur place. Cela peut quand même prendre un certain temps à traiter, puisque le fichier de déguisement est essentiellement copié dans le fichier conteneur.
4. Vérifier le fichier final :
   • Si tout a fonctionné, vous devriez maintenant avoir un fichier qui :
     • Ressemble à un fichier vidéo à tous égards.
     • Peut être lu comme un fichier vidéo en utilisant des applications de lecteur vidéo normales.
     • Peut toujours être monté dans VeraCrypt comme un volume caché.
     • Est très difficile à détecter comme un fichier hybride.

[Chronique écrite le 15.04.2023, pour Cybercoachs et Le Nouvelliste]

En juin 2022, l’ex-ingénieur de Google, Blake Lemoine, suscitait la controverse en attribuant faussement une forme de sensibilité et de conscience à conscience à un modèle d’intelligent artificielle (LaMDA). Et en février 2023, le journaliste Kevin Roose partageait son « expérience dérangeante » avec le Chatbot GPT-4 intégré au moteur de recherche Bing de Microsoft. Ce type de dérives met en lumière le risque d’anthropomorphisme qu’il y a à « humaniser » du code informatique. Alors soyons clairs, non, l’IA ne nous comprend pas et n’est pas empathique avec nous !

Le socle de connaissance sur lequel se base une intelligence artificielle générative pour générer du contenu est constitué de contenus produits par des cerveaux humains. Parmi ces contenus, il y figure, entre autres et sans hiérarchie de pertinence, de la fiction, de la fantaisie, de la science-fiction (y compris les dialogues de films ou extrait de récits), de la pseudoscience, de la poésie, des articles de tous types dans lesquels on pourrait trouver les hypothèses ou élucubrations les plus farfelues, etc. En résumé, la matière qui permet à une IA de générer des réponses imaginatives ou fantaisistes… mais, il n’y a pas de conscience ni de sens dans les traitements de ces contenus de la part d’une IA… il y a juste l’efficacité des algorithmes d’apprentissage profond – créés et définis par des humains – qui permettent à ces modèles d’apprendre à partir des données qu’on leur a fourni.

C’est notre imaginaire (celui produit par notre cerveau) qui est à l’origine des questions que l’on pose à une IA, et si la question ou le dialogue qui en découle est en relation avec de la science-fiction, alors l’IA va se servir des contenus (humains) qui auront servi à son apprentissage à même de générer la meilleure des réponses possibles. Mais, à nouveau, il n’y a aucune forme d’intelligence ou de création au sens propre dans ce processus, cela reflète juste les tendances et les préoccupations présentes dans les données d’entraînement. L’IA est dépourvue des processus cognitifs propres aux cerveaux biologiques.

Kevin Roose, un journaliste qui partageait récemment dans un article « A Conversation With Bing’s Chatbot Left Me Deeply Unsettled », la gêne qu’il avait ressenti face à la supposée humanité d’une IA lors d’un long échange qu’il avait eu avec le chatbot. Mais, en réalité, il n’a fait que reproduire bêtement ce qu’avait déjà fait Blake Lemoine, l’ex-ingénieur de Google. Et Roose est juste tombé dans le même piège que Lemoine… la capacité cognitive qui est attribuée à l’IA se trouve en fait présente dans notre cerveau et non dans les réponses de l’IA. Les interactions multiples (conversation) que l’on produit à travers un « Chat » vont jouer un rôle dans le façonnement de la « personnalité » de l’assistant (chatbot). C’est les mots que l’on tape qui modifient la distribution de la probabilité des mots, l’algorithme essayant de s’adapter au mieux à son interlocuteur.

Il en va de même avec les différents systèmes de croyances auxquels, nous humain, pouvons adhérer. La religion en est un parmi d’autres. Par exemple, l’interprétation des Dix Commandements a évolué au fil du temps, en fonction des contextes historiques, culturels et théologiques dans lesquels ils ont été étudiés et pratiqués. Il y a donc eu de multiples interprétations des dix commandements même si le texte d’origine est resté constant. C’est le logiciel de croyances humain qui a changé et s’est adapté, pas le texte d’origine…

L’IA génère des contenus, elle ne fait au mieux que mimer des émotions. Et c’est à nouveau notre cerveau qui va les qualifier de la sorte. Dans les faits, ce que l’on considère comme une émotion correspond juste, pour l’IA, à la « meilleure » suite de mots à fournir à partir de ses données d’entraînement. C’est notre cerveau qui attribue du sens aux contenus générés par l’IA, et c’est là uniquement que se trouvent la sensibilité et la conscience. Un cerveau biologique possède des capacités métacognitives, ce n’est pas le cas d’une IA.