Les moyens de détection à la disposition des armées les plus avancées technologiquement ne sont pas sans évoquer Argos, le géant aux cent yeux de la mythologie grecque : il paraît impossible de tromper leur surveillance. Couplés à la généralisation des armes de précision à longue portée, ces capteurs entraînent un accroissement important de la létalité : ce qui peut être observé peut être détruit. Dans cette ère de « visibilité fatale » (1), une unité combattante détectée ne dispose déjà plus que de moins de dix minutes pour se mettre à l’abri et ce délai se réduira encore significativement à l’avenir.
Il n’est donc pas surprenant d’observer une concurrence technologique très active entre les capacités de détection et d’analyse – qui ont le dessus pour le moment – et celles de simulation (leurres en particulier) et de dissimulation. Cette compétition conduit notamment vers une profonde mutation du camouflage, qui doit être multispectral (thermique, électromagnétique et optique, essentiellement). La traduction de ce besoin s’observe en Ukraine : pensons notamment aux chars T‑90 russes recouverts d’une couverture antithermique Nakidka réduisant les signatures thermique et radar.
Un défi en particulier devrait pousser à une évolution de certaines technologies et procédures de camouflage : celui des systèmes de détection, de suivi, de classification et d’identification automatisés d’objets – y compris petits et camouflés – grâce à l’intelligence artificielle (IA) (2). Dans ce domaine de l’IA de perception, le modèle de deep learning le plus connu est YOLO (You only look once), d’entrée de gamme et disponible en open source. Des produits ou logiciels spécialisés existent en nombre, comme Robin de l’entreprise française Preligens, Prism AI de Teledyne ou encore Kestrel de la firme australienne Sentient Vision Systems. D’une autre catégorie, les munitions rôdeuses peuvent également utiliser des algorithmes de guidage et de reconnaissance d’objets, comme c’est le cas avec le pilote automatique Skynode S produit par Auterion (États-Unis) qui a connu ses premières utilisations en Ukraine. Ce sont donc quelques options actuelles et futures de camouflage contre ces systèmes de détection automatisés par l’IA de plus en plus performants que nous allons explorer ici.
Empoisonnement et rétro-ingénierie
Un pan complet de la recherche, appelé « adversarial machine learning » et particulièrement actif depuis 2017 veut comprendre comment abuser une IA. Grâce à ses résultats, on peut distinguer trois grandes catégories d’attaques pour y parvenir (3), tout en gardant à l’esprit que, pour les IA de perception, il y a une différence significative entre la détection d’objets statiques et celle d’objets dynamiques : dès qu’il y a des signatures de mouvement, déceler des cibles est beaucoup plus aisé.
Premièrement, il est possible d’« infecter » ou d’« empoisonner » (poisoning) des données utilisées pour l’entraînement de l’IA qui, si elles sont incomplètes ou biaisées, dégraderont la qualité du résultat. Même si cela paraît complexe, il n’est pas impossible de manipuler les images pour que, par exemple, un char soit identifié comme une voiture, d’autant que l’on peut faire des modifications numériques difficilement détectables par l’œil humain (4). L’une des façons d’y parvenir consisterait à publier anonymement ces images dans une base de données ouverte utilisée pour entraîner les systèmes de détection automatiques comme Kaggle (5) ou, plus probablement, à se servir d’un fournisseur privé de données.
Autre mode d’action possible pour l’empoisonnement : une armée pourrait chercher à exploiter les images employées par un compétiteur pour entraîner un système d’IA en manipulant l’apparence réelle de ses véhicules, par exemple en y ajoutant un symbole distinctif. L’IA serait alors entraînée sur ces images et « apprendrait » que tous les véhicules détiennent ce signe caractéristique. En période de conflit, les véhicules seraient déployés sans ce symbole, ce qui compliquerait leur identification. On peut ici penser au principe du camouflage opéré par les constructeurs automobiles pour conserver le secret protégeant leurs nouveaux modèles. Il est également possible de diffuser des modèles d’IA malveillants, par des attaques par empoisonnement (poisoning attacks), des portes dérobées (backdooring attacks) ou des chevaux de Troie (trojaning attacks).
Deuxième méthode pour manipuler une intelligence artificielle : l’inférence par la compréhension du mécanisme ou rétro – ingénierie (reverse engineering) (6). Une connaissance des algorithmes, des données utilisées et du « degré » d’entraînement (dans le cas du machine learning) permettrait de prédire les réponses, d’autant qu’il est fort probable que l’adversaire dispose lui aussi d’IA pour l’aider dans cette tâche. Un ennemi pourrait « bombarder » un algorithme pour l’interroger, observer ses réactions pour comprendre le système de prédiction, puis chercher à le manipuler (7). Au combat, un adversaire enverrait des véhicules de différents types (les entrées) et observerait lesquels susciteraient une réponse de l’IA (les sorties). Avec le temps et en consommant des ressources, l’ennemi finirait par apprendre ce que le modèle d’identification des cibles considère comme une menace et pourrait donc imaginer des procédés pour camoufler une action offensive. Toutefois, la rétro – ingénierie à partir d’une « boîte noire » demeure très compliquée, particulièrement lorsqu’il s’agit de modèles de deep learning. Leur explicabilité constitue donc un domaine de recherche très actif.
Évasion
La troisième catégorie d’attaques contre les IA de perception est l’« évasion » (8). Il s’agit de créer une entrée soigneusement perturbée, le plus souvent considérée par un humain comme étant quasi identique à sa copie non altérée, mais qui déstabilise le système. On ne vise pas les données d’entraînement, mais les systèmes en fonctionnement courant : c’est comme si l’on cherchait à créer une illusion d’optique pour l’IA. Ces attaques par évasion sont particulièrement bien adaptées aux IA de perception. En effet, dès lors qu’il repose sur un algorithme entraîné pour une tâche définie préalablement, le modèle est incapable de faire preuve de discernement face à un leurre, pour peu que ce dernier réponde bien aux critères de sa programmation. L’exemple le plus classique d’attaque digitale – et non physique, donc difficile à mettre en œuvre dans un contexte militaire – est d’ajouter un « bruit numérique » à une image, notamment en saturant un capteur, après quoi l’IA perçoit une différence, alors même que l’image est restée identique. Il y a quelques années, des chercheurs ont également mis en évidence la possibilité de créer des objets physiques qui ont un effet antagoniste, y compris sous de nombreux angles de vue (9).
Alors que les applications de reconnaissance faciale sont de plus en plus employées pour la sécurité publique, ces attaques par évasion intéressent même des artistes. Ainsi, en 2015, Yanchao Li, de l’University College London, a conçu un camouflage spécifique pour « l’œil algorithmique » : des prothèses robotisées aidant les utilisateurs à contourner les logiciels de reconnaissance de la démarche humaine. Un projet d’Adam Harvey, « CV Dazzler », utilise l’éblouissement pour déjouer les logiciels de reconnaissance faciale en montrant comment recourir à du maquillage ou à des autocollants pour briser les lignes d’un visage et masquer les rapports d’identification entre le nez, les yeux et la bouche. Ce même Adam Harvey a en outre créé Stealth Wear, une ligne de vêtements permettant d’échapper aux caméras thermiques (10). Dans la même veine, pour se camoufler et tromper les IA de perception, des « patchs antagonistes » (adversarial patchs) placés sur des avions ou des engins terrestres pourraient être une solution prometteuse (11). Si, mal conçus, ils renforcent la vulnérabilité (ils pourraient être 24 % plus détectables que les objets qu’ils sont censés masquer (12)), il semble possible d’en concevoir de furtifs (13). Autre problème : ces patchs restent visibles par les capteurs optiques traditionnels. Certains chercheurs avancent des solutions comme le « dual attribute adversarial camouflage » qui permet de concilier camouflage visuel classique et efficacité contre les systèmes de détection automatique (14). La question des angles de détection est un autre axe de progrès nécessaire pour ces patchs. Cependant, certains modèles, comme le « Multi-texture fusion adversarial camouflage generation framework » (MFA), permettent de résoudre partiellement la question de l’instabilité des textures de camouflage sous différents angles (15). En outre, il pourrait être judicieux d’employer des patchs antagonistes sur des leurres (16) afin d’attirer l’attention d’une IA. Il est important de noter ici que les modèles d’entrée de gamme d’IA de perception, tels que ceux de la série YOLO, sont vulnérables à la « transférabilité ». C’est-à‑dire qu’un seul patch antagoniste peut être utilisé pour attaquer différentes versions d’un modèle et plusieurs systèmes avec, certes, un degré d’effectivité variable. Cette transférabilité n’est cependant pas applicable de manière générale et un patch antagoniste ne sera efficace que pour un nombre limité de systèmes et pour un certain temps seulement. Pour développer un type de camouflage résistant à l’IA, il faudra également répondre à la menace croissante que font peser les large language (multi-modal) models qui traitent beaucoup plus de paramètres et se montrent plus résilients vis-à‑vis des patchs antagonistes.
Savoir-faire classiques
Pour tromper les IA de perception, l’ingéniosité du soldat n’est pas à mettre de côté. Dans Four Battlegrounds : Power in the Age of Artificial Intelligence, Paul Scharre raconte une expérimentation où, en l’espace d’une journée, un groupe de Marines a compris que la meilleure façon d’approcher un système d’IA conçu pour identifier les êtres humains était de ne pas avoir une apparence humaine. Concrètement, cela signifie ici se tenir derrière un arbre ou maintenir un carton sur sa tête. De façon plus traditionnelle, la nature conserve son rôle d’excellent camoufleur. Une étude montre ainsi que les bâtiments recouverts de la plante grimpante ligneuse Aristolochia manshuriensis n’ont été reconnus par un réseau neuronal que dans 27 % des cas (17). Demain, il s’agira peut-être « d’être la nature » en créant des matériaux de camouflage intégrant les matières organiques et inorganiques qui se trouvent dans l’environnement des soldats ; c’est en tout cas l’une des pistes suivies par les chercheurs de Saab (18). Ainsi, le camouflage au sens classique du terme demeure vraisemblablement encore pour un temps l’approche la plus efficiente pour tromper des IA de perception. En effet, en fonction du jeu de données utilisé pour l’entraînement du système, les modèles d’IA définissent automatiquement des caractéristiques déterminant un type objet (un avion de chasse, une pièce d’artillerie, etc.). Une fois que sont actés les paramètres permettant de minimiser la fonction de perte (loss function) – c’est-à‑dire l’écart entre les prévisions du modèle et les observations réelles du jeu de données – et que l’entraînement a commencé, il n’est pas vraiment possible de savoir comment une décision est prise (d’où les recherches dans le domaine de l’IA explicable – XAI). Les IA de perception tendent ainsi à se focaliser sur des traits spécifiques (en fonction de leurs données d’entraînement, de leurs paramètres et de leur architecture) et la façon la plus efficace de tromper de tels systèmes est de se fondre encore davantage dans l’environnement ou de présenter des distorsions et des déformations.
Se désilhouetter
Se dissimuler consiste aussi à se fondre dans l’environnement en se « désilhouettant », c’est-à‑dire en masquant le plus possible ce qui caractérise un engin ou un personnel militaire afin de retarder au maximum sa classification comme tel. Des équipements de camouflage « dynamique » sont en développement, à l’instar du système Adaptiv de BAE Systems constitué de tuiles thermoréactives masquant l’empreinte thermique d’un engin ou lui donnant les propriétés d’un autre (une voiture ou un camion par exemple) grâce à une bibliothèque de signatures thermiques. Testé depuis plus de 10 ans, il pourrait entrer rapidement en production. Le projet de « bouclier » de la start-up espagnole Kallisto AI cherche également à diminuer la détectabilité par les drones et les satellites. Il se compose d’un panneau à fixer sur le toit des véhicules, dont la couche supérieure est recouverte de « couvertures » interchangeables constituées de différents matériaux pour cacher, modifier et/ou diffuser la signature du véhicule dans plusieurs bandes (IR, radar, visuel, thermique et multispectral). Ne pas être distingué comme un équipement militaire peut aussi être obtenu par la ressemblance avec des animaux. Les drones imitant des oiseaux ont rapidement proliféré, y compris dans le domaine civil, comme les produits proposés par l’entreprise française Bionicbird.
Une autre option pour se fondre dans l’environnement et échapper à « l’œil qui voit tout » consisterait à faire ressembler des équipements militaires à des équipements civils qui ne seraient pas considérés comme des cibles par les IA de perception. Cette solution de dissimulation est déjà utilisée par certains pays. Récemment, la Russie a camouflé des camions – citernes militaires en camions de transport de bois ou de céréales. La Corée du Nord a présenté lors d’un défilé des lance – roquettes multiples installés sur des camions civils. Au cours de manœuvres en 2020, l’armée taïwanaise a, elle, expérimenté le camouflage de véhicules blindés en grues civiles. Les États-Unis (MK70 Payload Delivery System), la Russie (Club‑K), la Chine, l’Iran ou encore Israël ont dévoilé des lanceurs de missiles intégrés dans des conteneurs et donc capables de se fondre dans une zone industrielle ou sur le pont d’un navire civil. Il peut s’agir en outre d’adopter des véhicules militaires semblables à des engins civils. C’est ce que font déjà les forces spéciales, mais avec deux inconvénients majeurs : leurs voitures ne sont pas toujours blindées et, puisqu’elles sont de divers modèles, leur maintenance est difficile. D’où le concept de Purpose built non standard commercial vehicle (PB-NSCV) du commandement des forces spéciales américaines (SOCOM). Le but est d’acquérir un véhicule totalement blindé, avec des brouilleurs et tous les systèmes de communication, de commandement et de navigation intégrés et pouvant être équipé de panneaux de carrosserie modulables pour ressembler à deux véhicules civils distincts. Certains vont même jusqu’à estimer que le soldat devrait pouvoir combattre en civil. L’écho avec des méthodes non conventionnelles suggérées pendant la guerre froide est évident : par exemple, organiser des « bandes de jeunes » à bord de véhicules civils équipés d’armes antichars afin d’avoir un surnombre décisif et difficilement identifiable (19). Autres options envisagées : des postes de commandement dans des conteneurs posés sur des camions commerciaux et des officiers de liaison circulant dans des véhicules civils.
Perfidie ?
Cette pratique de « civilianisation » d’équipements militaires ou d’utilisation d’équipements civils à des fins militaires pose toutefois de sérieuses questions juridiques et éthiques. Si la ruse est licite, la perfidie ne l’est pas. La ruse est un « procédé tactique combinant la dissimulation et la tromperie dans le but de provoquer la surprise (20) » et vise à tromper l’ennemi sans violer les règles de protection prévues par le droit international humanitaire. La perfidie, elle, est une violation de ce droit. Si elle est parfois considérée comme conceptuellement vague (21), l’article 37(1) du protocole additionnel aux conventions de Genève du 12 août 1949 stipule néanmoins : « Constituent une perfidie les actes faisant appel, avec l’intention de la tromper, à la bonne foi d’un adversaire pour lui faire croire qu’il a le droit de recevoir ou l’obligation d’accorder la protection prévue par les règles du droit international applicable dans les conflits armés ». Ce même article donne quatre exemples de perfidie, dont celui-ci : « Feindre d’avoir le statut de civil ou de non – combattant (22) ». En fait, les débats tournent en particulier autour de la reconnaissance du combattant irrégulier, souvent en civil, comme un combattant à part entière. Mais le « commentaire » de cet article 37(1) est clair : « Un combattant qui prend part à une attaque ou à une opération militaire préparatoire d’une attaque peut se camoufler, se fondre dans le paysage, dans l’environnement naturel ou artificiel, mais il ne doit pas feindre un statut civil en se diluant dans la foule. » L’article 44 indique par ailleurs que, « pour que la protection de la population civile contre les effets des hostilités soit renforcée, les combattants sont tenus de se distinguer de la population civile lorsqu’ils prennent part à une attaque ou à une opération militaire préparatoire d’une attaque ».
Ainsi, tout ce qui tend à faire ressembler un militaire à un civil, ou se dissimuler ou dissimuler ses attaques en les fondant dans un environnement civil (biens ou personnes) ne constitue pas une bonne pratique. Toutefois, l’utilisation de biens civils par les militaires ou encore la dissimulation tactique dans un environnement civil (c’est-à‑dire une dissimulation d’opportunité et ponctuelle liée à des circonstances particulières) ne sont pas interdites. Le développement de technologies visant à dissimuler sous l’apparence d’un véhicule civil des véhicules militaires pourrait constituer une violation du droit des conflits armés en ce qu’il semble compliqué de plaider la nécessité militaire. Le « maquillage » de l’ensemble des camions militaires en camions civils rendrait les camions civils susceptibles d’être pris pour cible par l’adversaire, mettant en danger les civils qui pourraient être à proximité ou utiliser ce même type de véhicules.
S’inspirer de Poe et s’adapter en permanence
En 1845, avec la publication de La Lettre volée, Edgar Alan Poe s’est imposé comme le père du roman policier moderne (23). Il utilise dans cette nouvelle un ressort narratif que la psychologie expérimentale nommera bien plus tard « cécité attentionnelle » (24). Dupin, un limier amateur, découvre l’emplacement d’une lettre scandaleuse qui a échappé à plusieurs perquisitions d’une police parisienne pourtant « excessivement habile dans son métier ». La missive se trouvait dans un bureau déjà soigneusement fouillé, mais « Le ministre, pour cacher sa lettre, avait eu recours à l’expédient le plus ingénieux du monde, le plus large, qui était de ne pas même essayer de la cacher (25) ».
Aujourd’hui, alors que la transparence du champ de bataille est particulièrement accrue par la puissance des systèmes de détection automatisés par l’IA, et que cette tendance met en cause la survivabilité des forces et leur capacité à manœuvrer en les obligeant à se disperser, cette façon de se cacher à la vue de tous peut nous inspirer. Unités et équipements militaires doivent pouvoir retarder le plus possible la détection et l’identification et obtenir le plus mauvais taux de classification possible. Il faut cependant garder à l’esprit que, dans beaucoup de configurations, les détecteurs dont dispose l’adversaire sont divers et que la dissimulation devra être de plusieurs types. Une nouvelle approche du camouflage en expérimentant notamment les pistes décrites ci-dessus paraît indispensable, même si c’est un champ loin d’être évident à explorer au regard de sa complexité et de la rapidité de son évolution (26). Ce tempo élevé d’évolution des logiciels et des modèles d’IA de perception pourrait d’ailleurs pousser à envisager à l’avenir un camouflage régulièrement redéfini par logiciel (software defined stealth) sur la base des données recueillies à propos des capteurs adverses.
Notes
(1) L’auteur tient à remercier Loïc Mougeolle et Kasper Cools pour leur aide précieuse.Martin C. Libicki, « Information & Nuclear RMA’s Compared », National Defense University, Institute for National Strategic Studies, Strategic Forum no 82, 1996.
(2) S. Li et coll., « Research on the Detection Algorithm of Camouflage Scattered Landmines in Vegetation Environment Based on Polarization Spectral Fusion », IEEE Geoscience and Remote Sensing Letters, vol. 21, p. 1-5, 2024. Les premières tentatives d’IA de perception datent des années 1960 : J. O’Connor, « Undercover Algorithm : A Secret Chapter in the Early History of Artificial Intelligence and Satellite Imagery », International Journal of Intelligence and CounterIntelligence, vol. 36, no 4, 2022, p. 1337-1351.
(3) Nick Starck, David Bierbrauer et Paul Maxwell, « Artificial Intelligence, Real Risks : Understanding and Mitigating Vulnerabilities in the Military Use of AI », Modern War Institute, 18 janvier 2022.
(4) Gamaleldin F. Elsayed et coll., « Adversarial Examples that Fool both Computer Vision and Time-Limited Humans », arXiv:1802.08195, 2018.
(5) Farzad Kamrani et coll., « Attacking and Deceiving Military AI Systems », FOI report, mars 2023.
(6) S-J. Oh et coll. « Whitening Black-Box Neural Networks », arXiv:1711.01768, 2017.
(7) Florian Tramèr et coll., « Stealing Machine Learning Models via Prediction APIs », Proceedings of the 25th USENIX Security Symposium, 10-12 août 2016.
(8) M. A. Ayub et coll., « Model Evasion Attack on Intrusion Detection Systems using Adversarial Machine Learning », 2020 54th Annual Conference on Information Sciences and Systems (CISS), Princeton, 2020, p. 1-6.
(9) A. Athalye et coll., « Synthesizing Robust Adversarial Examples », arXiv:1707.07397, 2018.
(10) Alexander Schwegmann, « Camouflage methods to counter artificial intelligence recognition », Proc. SPIE 12270, Target and Background Signatures VIII, 2 novembre 2022 ; Éric Miternique, « La Mode anti-reconnaissance faciale : des créatifs au service des citoyens », lagencepulse.fr, 16 mai 2023.
(11) A. Adhikari et coll., « Adversarial Patch Camouflage against Aerial Detection », arXiv:2008.13671v1, 2020.
(12) Adam Van Etten, « The weaknesses of adversarial camouflage in overhead imagery », IEEE Applied Imagery Pattern Recognition Workshop (AIPR), 2022.
(13) Adam Van Etten, « Camouflaging the Camouflage », avanetten.medium.com, 2 décembre 2022.
(14) Yang Wang et coll., « Dual Attribute Adversarial Camouflage toward camouflaged object detection », Defence Technology, vol. 22, no 1, 2023, p. 166-175.
(15) Yisheng Li et coll., « Multi-texture Fusion Attack : A Robust Adversarial Camouflage in Physical World », in De-Shuang Huang, Wei Chen, et Jiayang Guo (dir.), Advanced Intelligent Computing Technology and Applications, Lecture Notes in Computer Science, vol. 14870, Springer, 2024.
(16) Rémy Hémez, « Leurres tactiques terrestres : loin du gadget, une capacité indispensable », Défense & Sécurité Internationale, no 152, mars 2021.
(17) Natalia A. Pasichnyk et coll., « Prospective of Camouflage Ground Objects to Counter UAVs », IEEE 7th International Conference on Methods and Systems of Navigation and Motion Control (MSNMC), 2023, p. 1-6.
(18) « Better camouflage is needed to hide from new electronic sensors », The Economist, 29 mars 2023.
(19) Leonard Sullivan, « From Psychosis to Armoured Sunroofs », Armed Forces Journal International, mars 1988, p. 34-48.
(20) Jean-Vincent Holeindre, La ruse et la force : une autre histoire de la stratégie, Paris, Perrin, 2017, p. 19.
(21) Steven Watts, « Law-of-War Perfidy », Mil L. Rev. 106, 2014.
(22) Kevin J. Heller, « Disguising a Military Object as a Civilian Object : Prohibited Perfidy or Permissible Ruse of War ? », International Law Studies, vol. 91, Naval War College, 2015.
(23) Jacques Dubois, Le Roman policier ou la Modernité, Nathan, Paris, 1992.
(24) Christopher Chabris et David Simons, The Invisible Gorilla : And Other Ways our Intuitions Deceive Us, Random House, New York, 2010.
(25) Edgar Allan Poe, La Lettre volée, J. Malaise, 1933.
(26) Au regard du volume des contributions scientifiques traitant de méthodes pour tromper l’IA, la Chine semble très active dans ce domaine.
Rémy Hémez