Discussion :

[Anthony]

Le Parlement européen a désactivé les fonctionnalités d'IA intégrées aux appareils professionnels utilisés par son personnel, citant des risques non résolus pour la cybersécurité et la protection des données

Le Parlement européen a désactivé les fonctionnalités d'intelligence artificielle (IA) intégrées aux smartphones et tablettes professionnels utilisés par les parlementaires et le personnel, invoquant des risques non résolus en matière de cybersécurité et de protection des données. Les restrictions concernent les outils d'IA tels que les assistants de rédaction, les outils de synthèse et les assistants virtuels améliorés. Une évaluation interne a en effet révélé un manque de visibilité quant à la manière dont les données des appareils du personnel pouvaient être transmises à des fournisseurs tiers. Cette mesure de précaution souligne les défis de gouvernance posés par les fonctionnalités d'IA intégrées, qui peuvent élargir la surface d'attaque d'une organisation en l'absence de visibilité et de contrôle clairs.

La décision du Parlement européen s’inscrit dans un contexte de vigilance croissante face aux risques liés à la sécurité de l’IA. Des chercheurs spécialisés dans la sécurité de l'IA alertent en effet sur le fait que la société pourrait ne pas disposer du temps nécessaire pour anticiper les impacts sécuritaires des systèmes d'IA avancés. David Dalrymple, directeur de programme à l’agence britannique Advanced Research and Invention Agency (ARIA), a notamment averti que si le rythme actuel de développement de l'IA se maintenait, les sociétés humaines pourraient être confrontées à des systèmes plus puissants que prévu, avant même d'avoir mis en place les garde-fous nécessaires.

Dans ce contexte, le Parlement européen a récemment désactivé les fonctionnalités d'IA intégrées aux appareils professionnels utilisés par les législateurs et le personnel, invoquant des risques non résolus en matière de cybersécurité et de protection des données. La décision vise les outils d'IA intégrés aux tablettes et aux téléphones, tout en laissant intactes les applications essentielles telles que la messagerie électronique, le calendrier et les éditeurs de documents.

Selon un courriel interne décrit dans un rapport de Politico, le service informatique du Parlement a déterminé qu'il ne pouvait garantir la sécurité des fonctionnalités d'IA qui envoient les données des appareils à des services cloud pour traitement.

Les flux de données dans le cloud suscitent des craintes en matière de sécurité

Certains assistants ont utilisé l'infrastructure cloud pour effectuer des tâches qui auraient pu être techniquement traitées localement, ce qui a suscité des inquiétudes quant au transfert d'informations parlementaires sensibles vers des prestataires de services externes sans visibilité ni contrôle complets.

Le courriel interne indiquait qu'à mesure que ces fonctionnalités évoluent et deviennent disponibles sur un plus grand nombre d'appareils, la quantité totale et le type de données partagées avec les fournisseurs restent flous, ce qui a conduit à une suspension préventive.

Politico rapporte que les restrictions s'appliquent aux fonctionnalités intégrées telles que les assistants de rédaction et de synthèse, les assistants virtuels améliorés et les fonctions de synthèse de pages web sur les téléphones et les tablettes fournis aux députés européens et à leur personnel.

Les principaux outils de productivité continuent toutefois de fonctionner normalement, garantissant ainsi la continuité des travaux législatifs et des communications.

Dans un communiqué écrit, le service de presse du Parlement a déclaré surveiller en permanence les menaces liées à la cybersécurité. Le Parlement a indiqué avoir déployé rapidement des mesures pour les atténuer, mais a refusé de préciser quels systèmes d'exploitation ou solutions d'IA étaient concernés en raison du caractère sensible des politiques de sécurité.

Le même rapport de Politico indique que le courriel interne exhortait les législateurs à faire preuve d'une prudence similaire avec leurs appareils personnels utilisés pour le travail. Il leur conseillait d'éviter d'exposer leurs courriels professionnels, leurs documents internes ou leurs données confidentielles à des fonctionnalités d'IA qui scannent ou analysent le contenu. Il était également conseillé aux députés européens d'être prudents avec les applications d'IA tierces et d'éviter d'accorder des autorisations d'accès aux données trop larges ou inutiles.

Cette dernière mesure s'inscrit dans une tendance plus large de l'UE à renforcer les contrôles en matière de technologie et de sécurité des données. Elle fait suite à l'interdiction d'utiliser TikTok sur les appareils du personnel et aux pressions politiques visant à réduire la dépendance vis-à-vis des principaux fournisseurs de logiciels étrangers.

Pour les responsables de la sécurité, la décision du Parlement souligne un défi majeur en matière de gouvernance : les fonctionnalités d'IA intégrées peuvent élargir silencieusement la surface d'attaque et l'exposition des données d'une organisation, même lorsque les applications et les appareils sous-jacents semblent conformes et bien gérés.

Par ailleurs, les réserves exprimées par le Parlement trouvent un écho concret dans les vulnérabilités déjà identifiées dans certains outils d'IA grand public. Plusieurs rapports récents ont en effet révélé des failles de sécurité majeures dans certains navigateurs IA. Les chercheurs ont notamment identifié des vulnérabilités dans ChatGPT Atlas permettant l'injection de code via la mémoire contextuelle du système, et dans le navigateur Comet, qui peut être piraté à l'aide d'instructions dissimulées dans des pages web. De son côté, le mode Copilot de Microsoft Edge permettrait à des pirates d'injecter du code malveillant et de dérober des données sensibles.

Les experts en cybersécurité soulignent que les navigateurs IA créent des profils particulièrement intrusifs et élargissent considérablement la surface d'attaque. La multiplication des vulnérabilités « zero-day » associées à ces agents alimente les inquiétudes : la course à la commercialisation de ces navigateurs aurait précédé des phases de tests approfondis, créant ce que certains qualifient de « bombe à retardement » en matière de sécurité.

Sources : Le Parlement européen, Politico

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette mesure du Parlement européen crédible ou pertinente ?

Voir aussi :

Google met en garde l'Europe : nous vous apportons beaucoup de valeur ajoutée, si vous érigez des barrières contre les technologies étrangères, la région risque de compromettre sa propre croissance économique

Le PDG de Capgemini, la plus grande entreprise informatique européenne, n'est pas d'accord avec l'appel lancé par l'Europe pour réduire la dépendance vis-à-vis des entreprises technologiques américaines

L'AI Act est en place : les systèmes d'IA présentant un « risque inacceptable » sont désormais interdits dans l'UE, mais la Commission accuse des retards dans la définition des règles qui l'encadre

[mith06]

Perso j'ai hâte que Microsoft intègre copilot dans bloc-notes!!