Interview avec Dr Driss Raouh : « Le Maroc perdrait, d’ici 2030, 2 à 3% de son PIB annuel en cyberattaques »

L’émergence de l’Intelligence Artificielle (IA) a profondément transformé le paysage de la cybercriminalité, en donnant aux attaquants de nouveaux moyens d’agir plus rapidement, plus efficacement et de manière plus sophistiquée. Les nouveaux modèles IA ont permis l’automatisation des attaques et leur personnalisation. Ils sont devenus intelligents. Les modèles de traitement du langage naturel comme GPT sont le meilleur exemple. Ils permettent de générer des messages crédibles et adaptés au profil de la victime.

L’IA permet, en outre, aux cybercriminels d’éviter les antivirus traditionnels en modifiant dynamiquement le code malveillant pour contourner les signatures connues, d’identifier les failles plus rapidement en analysant automatiquement de vastes quantités de données à la recherche de vulnérabilités exploitables dans des logiciels ou des infrastructures.

Elle permet, également, de mener des attaques adaptatives en testant en temps réel différentes techniques jusqu’à trouver celle qui réussit à percer les défenses d’un système. Pour les escroqueries financières, l’IA facilite la fraude bancaire en l’automatisant et en rendant l’usurpation d’identité facile.

L’IA est utilisée par les cybercriminels et, également, par les défenseurs. Ces derniers l’utilisent pour détecter plus rapidement les comportements anormaux, pour prédire les attaques avant qu’elles ne surviennent, et pour analyser plus efficacement, et plus vite que les humains.
 

 Les enquêteurs numériques (ou analystes en criminalistique numérique) sont de plus en plus confrontés à des défis complexes, notamment en raison de l’émergence des cybercrimes pilotés par l’Intelligence Artificielle. Les principaux défis qu’ils rencontrent, aujourd’hui, sont le camouflage et la dissimulation automatisés car les IA malveillantes sont capables de masquer leur propre activité, de supprimer ou d’altérer les logs système, et d’utiliser des techniques d’évasion avancées (comme les rootkits ou les polymorphic malwares pilotés par IA). Cela rend la collecte de preuves extrêmement difficile.

Le second défi, nous le rencontrons avec la génération automatique de menaces (malware, phishing, etc.) car l’IA est utilisée pour générer des malwares adaptatifs, qui changent de signature en temps réel ou parfois sans signature ou de patterns préexistants pour tracer ces attaques, et les courriels de phishing hyperréalistes et personnalisés ainsi que des deepfakes vocaux ou vidéo, plus vrais que natures, pour l’usurpation d’identité. Ces outils rendent la détection, la trace et l’attribution plus complexes.

De plus, nous sommes confrontés aux techniques de brouillage d’origine car les modèles d’IA utilisent automatiquement des proxies, VPNs, botnets et adresses IP falsifiées et peuvent éviter les alertes.

La grande difficulté réside dans l’utilisation par les cybercriminels des IA génératives ou adaptatives qui évoluent plus vite que les systèmes de défense traditionnels. Par exemple, une IA est capable de réécrire son propre code en temps réel selon la cible et de s’auto-détruire en supprimant les sauvegardes cloud via des APIs piratées.

Aujourd’hui, un enquêteur numérique combat des algorithmes, pas des humains. La course est désormais entre deux IA : celle du criminel et celle du défenseur.
 

Le Maroc a fait d’énormes progrès avec la Loi 05-20, relative à la cybersécurité et la Loi n° 0703 complétant le Code Pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données. Mais les principales lacunes du cadre juridique marocain résident dans l’absence de mise à niveau de ces Lois existantes qui ne couvre pas les infractions modernes telles que : les rançongiciels (ransomwares) ou le vol de cryptomonnaies, l’interception illégale de données, les deepfakes, l’usurpation algorithmique ou les malwares polymorphes pilotés par IA. Des lacunes qui ne sont toujours pas, aujourd’hui, explicitement incriminées en raison de la difficulté à qualifier légalement ces crimes.

De plus, un « flou juridique » règne dans les preuves juridiques des cybercrimes, pilotés par l’IA que la loi marocaine n’encadre pas, et les procédures pénales restent peu adaptées aux preuves numériques. Un manque réel de spécificités pour les supports informatiques, et sans mesures procédurales claires. Ce qui rend l’admissibilité des preuves générées par l’IA difficile et très limitée à cause, entre autres, des logs trafiqués par des algorithmes et par des problèmes de la propriété intellectuelle, dans le cadre de l’utilisation des techniques de « reverse-engineering » pour l’identification des criminels. 

Enfin, Il n’existe aucune loi spécifique sur l’IA. La Loi 0520 (cybersécurité) ou 4320 (services de confiance) ne prennent pas en compte l’utilisation malicieuse de l’IA offensive. Les volets éthique, transparence, responsabilité algorithmique et auditabilité de l’IA sont, également, absents. Par ailleurs, le Maroc ne dispose toujours pas d’une Autorité nationale dédiée à l’IA chargée de la réguler, de surveiller ses usages ou de fixer les responsabilités en cas d’abus.

D’une part, nous remarquons l’absence d’un cadre global et institutionnel pour l’IA comme la création d’une Agence nationale dédiée à cette technologie. Il n’existe toujours pas d’Autorité attitrée pour réguler l’IA, définir la responsabilité et garantir la conformité des systèmes intelligents. Dans cette absence, des systèmes IA malveillants peuvent agir en toute impunité, sans faute humaine clairement définie ni recours organique pour les responsables.

De l’autre, les magistrats et enquêteurs manquent de compétences techniques, l’expertise judiciaire est presque inexistante et la coopération internationale est limitée du fait que les cybercriminels utilisent des serveurs étrangers ou des outils comme Tor ou VPNs générés par IA. Ce qui ralentit les procédures et limite l’interprétation des preuves numériques. 
 

Le Royaume doit agir sur 2 axes clés, dont le premier est la modernisation express du Cadre Juridique qui est devenue obsolète face aux menaces modernes en créant une Loi spécifique « Cyber-IA ». Laquelle prévoit l’interdiction de certains outils comme « WormGPT » sur le territoire national et des sanctions alourdies spécifiques pour les ransomwares, malwares IA, deepfakes malveillants avec des pénalités financières proportionnelles aux dégâts.

Il faut, également, procéder à la révision de la Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel car l’usage massif des données par l’IA soulève des risques majeurs. Le renforcement du rôle et des pouvoirs de la Commission Nationale de Protection des Données Personnelles (CNDP) et la mise en conformité avec le Règlement Général sur la Protection des Données (RGPD), mis en place par le Conseil de l’Europe depuis 2018, sont une nécessité absolue.

Enfin, le renforcement du code de procédure pénale reste, sans aucun doute, une urgence car les pratiques d’enquête sont peu adaptées aux supports digitaux. Il faut définir des procédures claires de saisie de serveurs, de cloud, de wallets numériques ainsi que des mécanismes légaux pour la conservation urgente de preuves numériques et un cadre juridique précis pour l’interception de communications en temps réel.

Le second axe concerne la mise en place de protocoles spécifiques pour preuves numériques avec obligation de conservation des preuves, comme mesure conservatoire, et, également, l’obligation pour les plateformes à sauvegarder les logs IA pendant au minimum un an. La création d’une Autorité nationale pour l’IA et la cybersécurité, dotée de pouvoirs de régulation, d’audit, d’investigation et de certification favorisera une approche polyvalente et multi-acteurs : État, entreprises, experts, citoyens.

La formation spécialisée des juges, procureurs et enquêteurs avec la création de juridictions spécialisées en cybercriminalité (Chambres dédiées aux infractions numériques complexes) est un accélérateur pour le traitement des dossiers et pour le renforcement de la cohérence jurisprudentielle.

L’amélioration de la coopération internationale avec l’application renforcée de la Convention de Budapest (ratifiée par le Maroc) et les accords bilatéraux avec les plateformes cloud (Google, Meta, AWS) pour l’extra-territorialité des preuves et les échanges techniques avec Europol, Interpol, CERTs africains est également un accélérateur pour l’opportunité que notre pays devient un hub africain de la cybersécurité IA. 

Ces réformes, à la fois juridiques, techniques et institutionnelles, sont vitales pour combler le retard du Maroc en matière de cybersécurité à l’ère de l’Intelligence Artificielle. Selon l’OCDE, le pays perdrait, d’ici 2030, 2 à 3% de son PIB annuel en cyberattaques s’il reste sans aucune action. C’est l’enjeu économique de ces réformes.