Les moyens de détection à la disposition des armées les plus avancées technologiquement ne sont pas sans évoquer Argos, le géant aux cent yeux de la mythologie grecque : il paraît impossible de tromper leur surveillance. Couplés à la généralisation des armes de précision à longue portée, ces capteurs entraînent un accroissement important de la létalité : ce qui peut être observé peut être détruit. Dans cette ère de « visibilité fatale » (1), une unité combattante détectée ne dispose déjà plus que de moins de dix minutes pour se mettre à l’abri et ce délai se réduira encore significativement à l’avenir.
Il n’est donc pas surprenant d’observer une concurrence technologique très active entre les capacités de détection et d’analyse – qui ont le dessus pour le moment – et celles de simulation (leurres en particulier) et de dissimulation. Cette compétition conduit notamment vers une profonde mutation du camouflage, qui doit être multispectral (thermique, électromagnétique et optique, essentiellement). La traduction de ce besoin s’observe en Ukraine : pensons notamment aux chars T‑90 russes recouverts d’une couverture antithermique Nakidka réduisant les signatures thermique et radar.
Un défi en particulier devrait pousser à une évolution de certaines technologies et procédures de camouflage : celui des systèmes de détection, de suivi, de classification et d’identification automatisés d’objets – y compris petits et camouflés – grâce à l’intelligence artificielle (IA) (2). Dans ce domaine de l’IA de perception, le modèle de deep learning le plus connu est YOLO (You only look once), d’entrée de gamme et disponible en open source. Des produits ou logiciels spécialisés existent en nombre, comme Robin de l’entreprise française Preligens, Prism AI de Teledyne ou encore Kestrel de la firme australienne Sentient Vision Systems. D’une autre catégorie, les munitions rôdeuses peuvent également utiliser des algorithmes de guidage et de reconnaissance d’objets, comme c’est le cas avec le pilote automatique Skynode S produit par Auterion (États-Unis) qui a connu ses premières utilisations en Ukraine. Ce sont donc quelques options actuelles et futures de camouflage contre ces systèmes de détection automatisés par l’IA de plus en plus performants que nous allons explorer ici.
Empoisonnement et rétro-ingénierie
Un pan complet de la recherche, appelé « adversarial machine learning » et particulièrement actif depuis 2017 veut comprendre comment abuser une IA. Grâce à ses résultats, on peut distinguer trois grandes catégories d’attaques pour y parvenir (3), tout en gardant à l’esprit que, pour les IA de perception, il y a une différence significative entre la détection d’objets statiques et celle d’objets dynamiques : dès qu’il y a des signatures de mouvement, déceler des cibles est beaucoup plus aisé.
Premièrement, il est possible d’« infecter » ou d’« empoisonner » (poisoning) des données utilisées pour l’entraînement de l’IA qui, si elles sont incomplètes ou biaisées, dégraderont la qualité du résultat. Même si cela paraît complexe, il n’est pas impossible de manipuler les images pour que, par exemple, un char soit identifié comme une voiture, d’autant que l’on peut faire des modifications numériques difficilement détectables par l’œil humain (4). L’une des façons d’y parvenir consisterait à publier anonymement ces images dans une base de données ouverte utilisée pour entraîner les systèmes de détection automatiques comme Kaggle (5) ou, plus probablement, à se servir d’un fournisseur privé de données.
Autre mode d’action possible pour l’empoisonnement : une armée pourrait chercher à exploiter les images employées par un compétiteur pour entraîner un système d’IA en manipulant l’apparence réelle de ses véhicules, par exemple en y ajoutant un symbole distinctif. L’IA serait alors entraînée sur ces images et « apprendrait » que tous les véhicules détiennent ce signe caractéristique. En période de conflit, les véhicules seraient déployés sans ce symbole, ce qui compliquerait leur identification. On peut ici penser au principe du camouflage opéré par les constructeurs automobiles pour conserver le secret protégeant leurs nouveaux modèles. Il est également possible de diffuser des modèles d’IA malveillants, par des attaques par empoisonnement (poisoning attacks), des portes dérobées (backdooring attacks) ou des chevaux de Troie (trojaning attacks).
