L’administration Biden demande aux développeurs d’adopter des langages de programmation sans risque pour la mémoire. C et C++ sont clairement dans le viseur, mais le changement prendra du temps.
Déjà taclés par la NSA, les langages C et C++ n’ont plus la cotes auprès des plus hautes instances américaines. En effet, la Maison-Blanche souhaite que les développeurs se servent de langages sécurisés pour la mémoire. Dans un rapport publié lundi, l’Office of the National Cyber Director (ONCD) de la Maison-Blanche invite les développeurs à réduire le risque de cyberattaques en utilisant des langages sans risque de vulnérabilités pour la mémoire. Les entreprises IT « peuvent empêcher l’introduction de multiples vulnérabilités dans l’écosystème numérique en adoptant des langages sécurisés », a déclaré la présidence dans un communiqué. Elle fait référence à ceux qui sont protégés contre les débordements de mémoire tampon, les lectures hors-limites (out-of-bounds reads ) et les fuites de mémoire.
Rust cité en exemple
Des études récentes de Microsoft et de Google ont montré qu’environ 70 % de toutes les failles de sécurité sont dues à des problèmes de sécurité de la mémoire. « En tant que nation, nous avons la capacité et la responsabilité de réduire la surface d’attaque dans le cyberespace et d’empêcher des catégories entières de bogues de sécurité d’entrer dans l’écosystème numérique, mais pour cela, nous devons nous attaquer au difficile problème de l’adoption de langages de programmation sans risque pour la mémoire », a déclaré Harry Coker, le directeur de l’Office of the National Cyber Director. Dans un billet de blog publié en septembre, la CISA (Cybersecurity and Infrastructure Security Agency), a donné le même conseil aux développeurs.
Dans son rapport de 19 pages, l’ONCD cite le C et le C++ comme deux exemples de langages présentant des vulnérabilités en matière de sécurité de la mémoire, et qualifie Rust comme sûr. Par ailleurs, une fiche d’information de la NSA sur la cybersécurité datant de novembre 2022 mentionne, en plus de Rust, les langages C#, Go, Java, Ruby et Swift, comme sécurisés. Selon Statista, en 2023, environ 22 % de tous les développeurs utilisaient le C++ et 19 % le C, ce qui les rend moins populaires que JavaScript, Python, Java et quelques autres. Cependant, l’indice Tiobe classe Python comme le plus populaire, suivi de C, C++ et Java.
Transfert de responsabilité
L’un des objectifs du rapport de l’ONCD est de transférer la responsabilité de la cybersécurité des particuliers et des petites entreprises vers les grands groupes, les entreprises IT et le gouvernement américain, qui sont « plus à même de gérer une menace en constante évolution », selon le communiqué de presse de la Maison-Blanche. L’ONCD a travaillé avec le secteur privé, y compris les sociétés IT, la communauté universitaire et d’autres organisations, pour élaborer ses recommandations.
L’organisme a lancé un appel à contribution publique sur le sujet en août. Il a également recueilli les commentaires de plusieurs firmes, dont Hewlett Packard Enterprise, Accenture et Palantir, qui soutiennent l’initiative. D’autres experts en sécurité des logiciels ont aussi fait l’éloge du rapport. Selon Dan Grossman, professeur en informatique fondamentale à l’université de Washington, le rapport de l’ONCD est utile et arrive à point nommé. Même si les « dangers du C et du C++ sont connus depuis des décennies », c’est le bon moment pour la Maison-Blanche de faire pression en faveur de la sécurité de la mémoire, « car des alternatives pratiques et matures sont désormais disponibles », a-t-il déclaré.
Un changement qui prendra du temps
Ces changements s’imposent aussi du fait de « la sophistication des menaces des adversaires qui exploitent les violations de la sécurité de la mémoire », a ajouté le professeur. « Des discussions sur la sécurité de la mémoire impliquant le gouvernement, l’industrie et les universitaires peuvent conduire à des changements significatifs », a-t-il estimé. « Naturellement, beaucoup de directions du gouvernement fédéral sont des créateurs et des vendeurs clés de logiciels et ils peuvent utiliser cette perspective pour décider de leur priorité pour les changements à venir dans les systèmes ou les nouveaux systèmes. Cependant, l’abandon du C et du C++ ne se fera pas du jour au lendemain, en particulier dans les systèmes embarqués », a reconnu Dan Grossman. « Mais l’utilisation d’autres langages pour les logiciels de systèmes, notamment Rust, a déjà augmenté de manière significative, et beaucoup prévoient une accélération de cette évolution plutôt qu’un arrêt pur et simple du développement du C et du C++, ce qui semble encore inimaginable dans son intégralité ».
L’abandon du C et du C++ sera « long et difficile », a aussi estimé Josh Aas, directeur exécutif et cofondateur de l’Internet Security Research Group. « Il faut un effort soutenu pour amener les gens à penser autrement, et des communications comme celle-ci contribuent à rappeler l’importance de la sécurité. Pour que le changement se produise, le gouvernement et le secteur privé doivent travailler ensemble pour faire du code sécurisé une priorité », a ajouté le dirigeant. « Il est clair que nous devons écrire et déployer de nouveaux codes, mais pour y parvenir, nous avons besoin de ressources et que des dirigeants à tous les niveaux, du gouvernement au secteur privé, en fassent une priorité », a-t-il insisté. « Les dirigeants concernés doivent être sensibilisés à ce problème et savoir qu’ils seront soutenus s’ils cherchent à le résoudre ».
Plus de 200 entreprises et organismes américains participeront à l’AI Safety Institute Consortium. Sa mission sera d’élaborer des lignes directrices pour garantir la sécurité des systèmes d’IA.
Si l’UE a pour habitude de réglementer (cf la récente approbation de l’IA Act), les Etats-Unis préfèrent laisser le marché se réguler. Et c’est bien ce qui prévaut dans la création de l’AI Safety Institute Consortium (AISIC). Cette structure, soutenue par le gouvernement américain, sera chargé de mettre en place des garde-fous pour l’utilisation et le développement de l’IA. Annoncé en fin de semaine dernière par le Département du Commerce, le consortium fait partie du NIST (National Institute of Standards and Technology et comprend plus de 200 entreprises et organismes. Parmi ses membres figurent Amazon.com, l’université Carnegie Mellon, l’université Duke, la Free Software Foundation et Visa, de même que plusieurs grands développeurs d’outils d’IA, dont Apple, Google, Microsoft et OpenAI.
Le consortium « veillera à ce que l’Amérique soit en tête de peloton » dans la définition des normes de sécurité de l’IA tout en encourageant l’innovation, a déclaré la secrétaire américaine au commerce, Gina Raimondo, dans un communiqué. « Ensemble, nous pouvons relever ces défis pour développer les mesures et les normes dont nous avons besoin pour maintenir l’avantage concurrentiel de l’Amérique et développer l’IA de manière responsable », a-t-elle ajouté.
Une nécessaire réglementation sur l’IA
La semaine dernière, outre l’annonce de ce consortium, l’administration Biden a nommé Elizabeth Kelly, ancienne conseillère du président pour la politique économique, au poste de directrice l’US Artificial Intelligence Safety Institute (USAISI), une organisation au sein du NIST qui hébergera l’AISIC. On ne sait pas encore si les travaux de la coalition déboucheront sur des réglementations ou sur de prochaines lois. Même si le 30 octobre 2023, le président Joe Biden a publié un décret sur la sécurité de l’IA, le calendrier des travaux du consortium n’est pas encore fixé.
De plus, si Joe Biden perd les élections présidentielles dans le courant de l’année, cette dynamique en faveur d’une réglementation de l’IA pourrait s’essouffler. Cependant, le récent décret de Joe Biden suggère qu’une certaine réglementation est nécessaire. « L’exploitation de l’IA pour le bien et la réalisation de ses innombrables avantages exigent que l’on atténue les risques considérables qu’elle comporte », indique le décret. « Cette entreprise appelle à un effort de toute la société, qui inclut le gouvernement, le secteur privé, le monde universitaire et la société civile ».
Plusieurs textes en préparation
Entre autres choses, la volonté de M. Biden est d’exiger des développeurs de systèmes d’IA qu’ils partagent les résultats de leurs tests de sécurité avec le gouvernement américain ; d’élaborer des normes, des outils et des tests pour garantir que les systèmes d’IA sont sûrs, sécurisés et dignes de confiance ; de protéger les résidents américains contre les fraudes et les tromperies liées à l’IA ; de mettre en place un programme de cybersécurité pour développer des outils d’IA capables de trouver et de corriger les vulnérabilités des logiciels critiques.
L’AI Safety Institute Consortium sollicite les contributions de ses membres dans plusieurs de ces domaines, notamment autour du développement d’outils de test et de normes industrielles pour un déploiement sûr de l’IA. Dans l’intervalle, au cours de la session 2023-24, les législateurs ont présenté des dizaines de projets de loi liés à l’IA au Congrès américain. L’Artificial Intelligence Bug Bounty Act pourrait obliger le Département de la Défense des États-Unis à créer un programme de primes aux bugs pour les outils d’IA qu’il utilise. Le Block Nuclear Launch by Autonomous Artificial Intelligence Act pourrait interdire l’utilisation de fonds fédéraux pour des systèmes d’armes autonomes capables de lancer des armes nucléaires sans intervention humaine significative. Mais, en cette année électorale aux États-Unis, il est difficile de faire passer des projets de loi au Congrès.
La lutte entre les pro et anti régulation resurgit
Plusieurs personnalités, dont Elon Musk et Stephen Hawking, ont fait part de leurs inquiétudes au sujet de l’IA, notamment la menace lointaine que l’IA finisse par prendre le contrôle du monde. Dans les préoccupations à plus court terme, certains s’inquiètent de l’utilisation de l’IA pour créer des armes biologiques, des cyberattaques ou des campagnes de désinformation. Mais d’autres, comme l’investisseur en capital-risque Marc Andreessen, estiment qu’un grand nombre d’inquiétudes à propos de l’IA sont exagérées. Dans un long billet de blog daté du 6 juin 2023, il affirme que l’IA sauvera le monde. Il milite en faveur de la suppression de « toute barrière réglementaire » pour le développement d’une IA open source, en mettant en avant les avantages que pourront en tirer les étudiants qui apprennent à construire des systèmes d’IA.
À l’inverse, il fustige les opportunistes qui cherchent à tirer profit de la réglementation en créant une « panique morale » sur les dangers de l’IA afin d’imposer de nouvelles restrictions, réglementations et lois. Les dirigeants des entreprises d’IA existantes « peuvent gagner plus d’argent si des barrières réglementaires sont érigées pour former un cartel de fournisseurs d’IA adoubés par le gouvernement et protégés de la concurrence des nouvelles startups et des logiciels libres », a ainsi déclaré Marc Andreessen.