Zero Trust : une règle aussi pour les humains ? | Cyberleaders

Il va de soi que, dès son origine, le concept Zero Trust s’est adressé au monde professionnel et concerne plus particulièrement les « relations » entre les machines, les protocoles de communication et d’identification — authentification — entre les services, les ordinateurs et l’ensemble des périphériques impliqués dans le monde informatique, toile de fond de notre quotidien. Pourtant la prudence à laquelle appelle ce Zero Trust pourrait bien trouver des applications dans les relations entre les humains et les espaces informatique, les réseaux et autres mondes virtuels et persistants et les IA, nos futurs compagnons dans ce voyage quotidien entre mondes tangible et virtuels. La science-fiction nous apporte quelques beaux exemples de ce florilège de ces relations.

Le Zero Trust au service des relations humains et machines

De prime abord, on pourrait dire que les questions d’authentification seront, demain, de trois grands types : d’une part, il s’agira de comprendre les enjeux des preuves de la personne dans le monde tangible quand les interfaces de celui-ci utiliseront de plus en plus de systèmes dématérialisés, puis ceux de la connexion des individus humains aux futurs systèmes virtuels et, enfin, les défis des relations de ces systèmes devenus plus ou moins autonomes et conscients avec cette même humanité qui comprend de moins en moins ses propres créations…  

Pour explorer le quotidien des humains dans un monde qui se fie de plus en plus à des outils numériques pour identifier les usagers, on pourrait poser la question comme suit : que dois-je fournir pour prouver que c’est bien « moi » qui cherche à se connecter à tel système, à telle administration ? ». Dans le film Bienvenue à Gattaca, la question est résolue au moyen de l’ADN, une goutte de sang sert de « sésame ». Dans le jeu Detroit: Become Human comme dans le terrible épisode Haine virtuelle de la saison 3 de la série Black Mirror, c’est la reconnaissance faciale qui permet aux individus d’être reconnus par les divers systèmes. Dans une veine un peu moins dystopique, on pourrait citer le film Her de Spike Jonze (2013) en se demandant si c’est le schéma psychologique, le comportement amoureux qui permet à Samantha d’identifier son amant humain ? On le comprend bien : aujourd’hui comme demain, ce sera à l’usager de faire la preuve de son identité. Par quels moyens ? Comment les rendre robustes au piratage ? La question reste ouverte… d’autant plus que, si dans un État de droit « analogique », la présomption d’innocence prime dans les questions de justice, dans ce même État « dématérialisé » à venir, ce pourrait bien être la présomption de fraude qui s’impose… Tout cela étant dit sans jamais oublier qu’il suffit d’un « bug » pour faire capoter tout le système, c’est ce que nous rappelle Brazil le film de Terry Gilliam (1985). 

Vient ensuite la question de la connexion d’un individu aux réseaux en prenant comme exemple un film tel que Ready Player One de Steven Spielberg (2018). Celui-ci permet d’aborder un autre aspect de l’authentification d’un individu sur un système numérique. Il s’agit de l’éternelle et irrésoluble question de l’anonymat sur les réseaux. On le sait, la violence constatée sur les réseaux sociaux est souvent adossée à un anonymat auquel les usagers s’attachent résolument. Cela leur permet de déverser toute leur bile sans risque de rétorsion : les providers, X (anciennement Twitter), Facebook, TikTok… tirent leur revenus des audiences générées par ces flots de haine, ces logorrhées nauséabondes sans limites… De son côté, Ready Player One tire sur la veine citoyenne de l’anonymat numérique : il permet l’activation d’autres types d’action, par exemple celle de lanceur d’alerte. Demain, c’est le postulat du film, les actions militantes seront portées dans les mondes virtuels et persistants, ce qu’on nomme les Métavers. Si, aujourd’hui, ces derniers ont encore à faire la preuve de leur utilité, il faut faire confiance aux promoteurs de ces nouveaux espaces pour bientôt nous proposer des systèmes d’interfaces humain-machine qui donneront toutes justification d’existence à ces systèmes qui seront une nouvelle manière de capter le pouvoir d’achat des usagers… Il ne faut jamais douter des capacités d’innovations des propriétaires de systèmes capables de générer des dividendes ! Ce moment venu, il sera temps de se poser la question de la citoyenneté dans les mondes virtuels persistants… 

Vient le troisième type de relations qui nécessitera une robustesse d’authentification. On parle ici des futures relations entre l’humanité et les systèmes d’intelligence artificielle à venir . Là, on aborde des dimensions plus ontologiques, c’est-à-dire liées aux relations entre l’être humain et l’être artificiel, dès lors que l’on aborde la notion d’intelligence artificielle généraliste (AGI, Artificial Generalist Intelligence)qui, éventuellement, doterait ces systèmes artificiels d’une conscience — une conscience d’eux-mêmes (Computo ergo sum) et de ce qui les entourent, le monde tangible et les humains, leur alter ego biologiques. Ce nouveau statut de personne artificielle allant de paire avec des droits et des devoirs qui restent à être définis… Le film Ex Machina d’Andrew Niccol (2014) traite de ce moment, celui où une IA pourra revendiquer ce statut de personne artificielle. Sans attendre que la fiction se réalise, dès aujourd’hui, on est en droit de s’interroger : quelle sera la procédure d’évaluation — des capacités cognitives et d’autonomie de conscience —, quel protocole d’authentification de ce nouvel état d’AGI à « adosser » à ces éventuelles futures personnes artificielles ? En effet, à l’inverse des humains qui n’ont pas à prouver leur humanité, demain, il sera peut-être demandé à une IA de prouver en permanence de ses capacités d’AGI consciente ? On toucherait là à un degré extrême du Zero Trust puisque la preuve de la conscience d’une IA devrait être apportée en permanence par celle-ci quand elle s’adresse à un humain ou quand elle prend le contrôle de systèmes informatiques inférieurs à elle en termes de conscience. A moins que, comme dans le film Mars Express (2023), le marché reste la seule mesure de toute innovation, ce qui ramènerait l’IA, qu’elle soit généraliste ou non, au seul statut d’objet industriel qui peut donc être retiré de la circulation quand l’humanité le décide, pour être remplacé par une innovation plus performante.

Manipuler la confiance pour manipuler l’humanité

Dans ces mondes ultra technologiques, quels moyens aura l’individu, qu’il soit biologique ou artificiel, pour apporter en permanence la preuve de son authenticité, son identité ou son état conscient ? Cette question est d’autant plus prégnante quand on aborde des dimensions sociétales… quand le Zero Trust est pris à contre pied, pour asseoir un pouvoir. C’est le genre de situation que décrit le film Elysium de Neill Blomkamp (2013). Là, une minorité impose sa définition de l’être humain et s’accorde la liberté d’asservir une majorité. Dans ce film, cette élite s’est arrachée au sol même de notre planète pour s’installer dans une station spatiale en orbite de la Terre, Elysium, tout ce système de classe reposant sur un critère de naissance, ou plutôt de lieu d’habitation. Le fait d’être identifié comme résident d’Elysium ouvre l’accès à tous les trésors de la technologie, le confort ou les medbox, ces cabines de téléconsultations et de soins aux capacités quasiment magiques. Celles et ceux qui sont nés et habitent la Terre sont condamnés à une vie de misère, sous la férule d’une police robotique en charge du respect de ces dispositions cette apartheid futuriste. Comme dans beaucoup d’œuvres de SF, ces machines sont censées porter assistance à « l’humanité ». Il suffit de restreindre la définition de cette même humanité au lieu d’habitation pour s’apercevoir que le Zero Trust peut-être perverti. Le film est la chronique d’une révolte annoncée… qui redonnera aux machines une définition exhaustive de l’humanité… jusqu’à la prochaine crise !  

Le Zero Trust challengé par des situations émergentes 

A-t-on fait le tour des questions du Zero Trust appliquées à l’individu et à la société, dans un système qui tend à se dématérialiser ? Peut-être pas… Car voici au moins deux autres interrogations qui méritent que nous nous penchions dessus : la première est la question du tire automatique létal. Le film Elysium traite de cette question en autorisant les systèmes de sécurité autonomes, des robots policiers, à tirer sur les humains terrestres parce que ceux-ci ne sont pas « humains » aux yeux des machines… Dans Chappie, toujours de Neill Blomkamp, comme dans Elysium, la violence des machines est une réponse à la violence des manifestants… et le tire devient létal. Est-on prêt, dans notre présent, à envisager de telles situations de tir potentiellement mortel sans décision humaine ? Aujourd’hui, il existe un lieu où cette situation est mise en œuvre quotidiennement : la zone démilitarisée entre la Corée du Sud et la Corée du Nord. Depuis une dizaine d’années, Samsung, pour la Corée du Sud, a déployé un système de tir létal autonome… Là, point de Zero Trust. C’est un algorithme qui évalue la menace et qui prend la décision… Du côté français, il existe aussi un cas de tire automatique létal : à bord des navires de la marine nationale, en cas d’attaque par des systèmes d’arme à très haute vélocité, les systèmes de défense ne disposent que de quelques secondes pour s’enclencher quand la menace émerge au dessus de l’horizon. Là, les systèmes de défense se déclenchent avant même que les humains aient eu le temps d’évaluer la situation ; ce système présupposant qu’il n’y a pas d’humains à bord des engins d’attaque… Mais la question demeure sur la table…

L’autre et dernier cas qui interroge la notion ontologique du Zero Trust est abordée dans le film Total Recall: Mémoires reprogrammées. Là, le héros est confronté à une réalité alternative : celle d’un autre lui-même avant que sa mémoire et donc sa personnalité aient été modifiée par l’implant de faux souvenirs. Dès aujourd’hui, ce qui nous semble être de la science-fiction n’en est plus vraiment : en laboratoire, on a appris à des souris à avoir peur d’un lieu en leur implantant de faux souvenirs… Même si on reste loin du moment où chacun d’entre nous pourra se faire implanter le souvenir d’une expérience, d’une compétence ou d’une émotion… ne touchera-t-on pas là au sommet des enjeux du Zero Trust ? Quels moyens me permettront de me prouver à moi-même que je suis bien celui qui croit être ce qu’il est ? Question abyssale. Christopher Nolan avait abordé cette question dans son film Inception (2010). Il traitait la manipulation de la mémoire d’un individu par des moyens analogiques, au moyen de souvenirs implantés par des rêveurs-hackeurs… Dans Total Recall, comme dans nos laboratoire, c’est au moyen de la technologie qu’un jour on pourra manipuler la personnalité d’un individu… 

Alors, demain sera-t-il un monde définitivement sans confiance possible parce que nous serons tous potentiellement hackés ? Ou alors, comment mettre en œuvre aujourd’hui les conditions d’un monde qui se construise sur un Zero Trust au bénéfice des individus et des collectivités, aussi bien tangibles que virtuels ?