Comme les autres organismes de police canadiens, la Gendarmerie royale du Canada (GRC) peine à accéder aux données chiffrées saisies lors d’enquêtes criminelles. C’est pourquoi elle a confié à Solutions Innovatrices Canada le soin de lancer un défi aux petites entreprises : trouver un système légal de décryptage faisant appel à l’IA pour accéder à des données. Le défi a débuté le 4 novembre et sera clos le 16 décembre 2021.
La police canadienne face aux défenseurs de la vie privée et des libertés
La croissance exponentielle des technologies de communication a entraîné l’augmentation des cas de cybercriminalité. Les attaques ciblent les particuliers mais aussi les entreprises et les administrations afin d’exploiter les données personnelles (données bancaires, identifiants pour le e-commerce), le phishing ou le “rançongiciel”. La GRC se trouve face à un problème de taille : si elle peut demander un mandat pour fouiller un appareil, elle ne peut par contre pas obliger une personne à donner ses mots de passe. Elle a essayé d’obtenir du Gouvernement Fédéral le droit de contraindre les suspects à déverrouiller leurs ordinateurs et téléphones portables cryptés et une loi obligeant les fournisseurs de services de télécommunication et d’Internet à installer des équipements d’interception et de conservation des données dans leurs réseaux, mais les défenseurs de la vie privée et des libertés s’y sont opposés.
Le nombre de cyberattaques augmente d’année en année. En 2016, la police canadienne a reçu 24 000 plaintes soit 58 % de plus qu’en 2014 et nombreux sont ceux qui n’incriminent pas leurs cyberharceleurs. Lorsque Brenda Lucki est arrivée à son poste en 2018, elle a reçu une note d’information qui indiquait que “la capacité à surveiller le domaine numérique décroît rapidement” et :
“De plus en plus, la criminalité est menée sur Internet et les enquêtes sont de nature internationale, mais les outils d’enquête et la capacité de la GRC n’ont pas suivi le rythme.”
Pour se donner les moyens de lutter contre la cybercriminalité, la GRC cherche un système de décryptage faisant appel à l’intelligence artificielle capable de traiter les fichiers de données saisis et de générer des listes de mots particuliers pour analyser le matériel chiffré et y accéder. Elle a donc demandé à Solutions Innovatrices Canada, composante du Plan pour l’innovation et les compétences, de lancer un défi. Ce dernier a pour ambition de faire du Canada un leader mondial dans une économie axée sur l’innovation, de manière à créer des emplois et à assurer la croissance de la classe moyenne.
Un défi à relevé pour les petites entreprises
Les petites entreprises ont jusqu’au 16 décembre pour présenter une proposition en réponse au défi. Elles peuvent recevoir jusqu’à 150 000 dollars canadiens (environ 104 000 euros) pour les aider dans leurs activités de recherche ou développement dans le cadre du programme Solutions innovatrices Canada.
Les entreprises retenues lors de la seconde phase pourront recevoir jusqu’à 1 million de dollars canadiens (environ 700 000 euros) et ainsi mettre au point un prototype fonctionnel qui aura le Gouvernement fédéral pour premier client.
Une demande de résultats obligatoire
Les solutions proposées doivent :
- accepter et traiter des documents de toute taille à partir des dossiers judiciaires les plus courants;
- produire des listes de mots de passe propres à un sujet en fonction des activités liées aux données de l’utilisateur, à ses centres d’intérêt et aux mots de passe découverts dans les images judiciaires intégrées par la solution ;
- traiter l’historique de recherche Web des navigateurs les plus courants (Chrome, Edge, Firefox, Safari) ;
- traiter des documents courants (MS Word, MS Excel, fichiers texte, Adobe) ;
- exporter des dérivés de mot de passe en format texte afin de les utiliser dans le logiciel de déchiffrement.
Les résultats souhaités supplémentaires
Les solutions proposées devraient :
- reconnaître les fichiers chiffrés courants à partir des images contenues dans l’appareil (luks, bitlocker, truecrypt, etc.) ;
- intégrer les mots de passe connus dans une base de données et utiliser ladite base de données pour produire des dérivés de mot de passe ;
- fournir une interface utilisateur graphique (IUG) conviviale ;
- lancer des travaux de déchiffrement au moyen des listes de mots de passe générées en utilisant un logiciel de déchiffrement courant (Elcomsoft, Passware, Hashcat, etc.)