Le cloud sert-il de contournement aux interdictions d’exportation de puces IA vers la Chine ? Les Etats-Unis le pensent et souhaitent y remédier. Le ministère américain du commerce a publié une proposition de règlement exigeant que « les fournisseurs de certains produits IaaS » soumettent un rapport « au secrétaire au commerce lorsqu’une personne étrangère utilise leurs services pour entraîner un grand modèle d’IA avec des capacités potentielles qui pourraient être utilisées pour entraîner un grand modèle d’IA dans une activité cybernétique malveillante ».

Dans le document, une définition précise les modèles ciblées. Ils doivent présenter, « les conditions techniques d’un modèle de fondation à double usage, ou qui comprend d’autres paramètres techniques inquiétants, qui a des capacités pouvant servir pour aider ou automatiser des aspects d’une activité cybernétique malveillante ». Derrière ce dernier terme se cache plusieurs éléments : des attaques par ingénierie sociale, en déni de service, la recherche de vulnérabilités, la sélection et la hiérarchisation des cibles. Mais aussi, des campagnes de désinformation, de l’empoisonnement des données et du commande et contrôle à distance.

Une restriction large touchant les revendeurs

Toute activité entrant dans ces catégories doit être signalée dans un délai de 15 jours civils. Les opérateurs IaaS doivent conserver pendant deux ans les données relatives aux clients qui se livrent à de telles activités. Le projet de règlement publié lundi souligne que les acteurs étrangers malveillants se servant des produits IaaS américains sont difficiles à repérer et que les revendeurs étrangers de services IaaS compliquent la tâche des services répressifs américains. Le CIP (Customer Information Program) proposé par le ministère du commerce exige donc que les opérateurs IaaS identifient les utilisateurs et veillent à ce que leurs revendeurs étrangers fassent de même - ou du moins fassent « tous les efforts raisonnables » pour le faire.

Sans citer le nom dans le projet de règlement, la secrétaire d'État au commerce, Gina Raimondo, n'a pas hésité à nommer la Chine - et aucun autre pays - lors d'une interview accordée à Reuters vendredi dernier. « Nous ne pouvons pas tolérer que des acteurs non étatiques, la Chine ou des personnes dont nous ne voulons pas, accèdent à notre cloud pour entraîner leurs modèles ». Elle observe que le gouvernement impose des contrôles à l'exportation sur les mêmes puces que les opérateurs IaaS louent à leurs clients, et a suggéré de « fermer cette voie pour les activités malveillantes potentielles ».