Sécuriser l’intelligence artificielle

26 juillet 2024. Un célèbre réseau social publie une vidéo de la nouvelle candidate à l’élection présidentielle américaine. Entre autres inepties, Kalama Harris y confesse benoîtement “ne rien connaître à la gestion du pays.” Renseignements pris, elle n’a jamais prononcé ces mots. Les paroles et l’image ont été générées par intelligence artificielle. Le deepfake dans toute sa splendeur. Un faux absorbé par 100 millions de followers.

© Inria / ARTISHAU

En toile de fond : l’irruption de nouveaux outils. Ils ont pour noms MidJourney, Dall-E, Stable Diffusion ou encore ChatGPT. Ce sont des intelligences artificielles génératives. Elles savent fabriquer des images, produire du son, rédiger des articles. Impossible souvent de faire le distinguo avec des contenus créés par les humains. Difficile de savoir si le document est en quoi que ce soit authentique. C’est la porte ouverte à toutes les désinformations. Et cela avec une facilité déconcertante, à la vitesse de la lumière et à l’échelle planétaire.

Alors comment se prémunir ? C’est l’une des trois questions auxquelles veut répondre ARTISHAU, nouvelle équipe de recherche^[1] au Centre Inria de l’Université de Rennes. À sa tête : Teddy Furon, un spécialiste de la protection des contenus multimédias. 

Plusieurs approches se dégagent, explique le scientifique. D’abord, les protections actives. Le logiciel va filtrer les requêtes de l’utilisateur et parfois lui dire : ah non, là, désolé, mais sur ce sujet, je ne vais pas t’aider. Cela peut être aussi un postfiltrage. L’IA effectue alors le travail demandé. Mais avant transmission à l’utilisateur, un deuxième classifieur inspecte le contenu pour voir s’il est conforme ou non conforme.”

Pour cela, encore faut-il s’accorder sur un code de bienséance et savoir qui le définit. Toutes les cultures, tous les États et toutes les plateformes technologiques ne placent pas le curseur au même endroit...

Tatouage numérique

Deuxième aspect du problème : “comment savoir si l’image est authentique ou générée par IA ? On peut effectuer une analyse des images pour chercher à repérer des traces qui seraient, par exemple, typiques d’un outil comme MidJourney. Une approche plus active consiste à insérer volontairement des traces dans les fichiers. On en arrive alors à la notion de tatouage numérique,” une technique beaucoup utilisée pour la protection des contenus multimédia. Elle vaut pour les images, mais aussi pour les textes. “Les Large Language Models" (LLMs) utilisés pour écrire ou traduire effectuent en fait des prédictions statistiques sur le mot suivant. Le tatouage consiste alors à changer subtilement l’agencement des mots ou la structure des phrases en modifiant la distribution de probabilités.” Les dissertations de collégiens rédigées à l’aide de ChatGPT se trouvent donc en sursis.

“En Californie, le gouverneur vient de mettre son veto à un projet de loi qui entendait imposer à l’éditeur de mettre un tatouage dans les générateurs de sons, d’images et de textes. L’État fédéral américain prépare une législation similaire. Même chose en Europe avec l’EU AI Act qui entre en vigueur en juin 2025.”

Pour être efficace, le tatouage numérique doit être robuste. Donc, résister par exemple aux recadrages d’images effectués par l’utilisateur ainsi qu’à la compression opérée par les réseaux sociaux durant le téléchargement. Bien... mais insuffisant. Le tatouage doit aussi être sécurisé afin de survivre aux tentatives visant à l’enlever. “L’attaquant a peut-être accès à des dizaines de milliers d’images tatouées. Avec la bonne technologie, il peut alors analyser ces images pour essayer de déduire des connaissances sur la façon dont le tatouage est construit.”

Un détecteur pour trier le vrai du faux

À l’autre bout de la chaîne, l’utilisateur qui consulte ces contenus, lui, va avoir besoin d’un détecteur pour trier le vrai du faux. Ce qui amène une autre question. “Un attaquant pourrait-il bombarder d’images ce détecteur pour inférer comment l’algorithme fonctionne ?” Pas exclu. “Si l’on ajoute énormément de bruit sur une image, jusqu’à la rendre pratiquement méconnaissable, le tatouage disparaît. À partir de là, si je réduis progressivement ce bruit, je vais pouvoir trouver à quel moment j’arrive à la frontière entre détection et non-détection.”

Le falsificateur sait donc précisément où se placer pour rester sous les radars. Ce qui rappelle au passage qu’une intelligence artificielle peut se faire berner. Et c’est d’ailleurs un des autres axes de recherche de l’équipe ARTISHAU : sécuriser les réseaux de neurones.

Qu’en est-il en pratique ? “Lorsque l’IA est un classifieur, il apprend à partir d’exemples. Il doit faire la différence, disons, entre des images de chiens et de chats. Pour cet apprentissage, il faut des quantités massives de données que, dans les faits, plus personne ne regarde. Or, si l’attaquant obtient la possibilité de modifier des images servant à l’entraînement, alors il va pouvoir tromper l’algorithme. S’il ajoute un petit patch rouge dans un coin sur les images de chats, le classifieur va croire que cela signifie qu’il a affaire à une image de chat. Ensuite, une fois que l’algorithme est déployé en production, il suffit de lui présenter une image avec ce petit patch rouge pour qu’il la classe parmi les chats... même si la photo montre un chien.” Et le tour est joué. “C’est ce que l’on appelle construire une porte dérobée.”

D’autres vulnérabilités existent. “On a constaté qu’un attaquant, pour une donnée ciblée, pour un algorithme ciblé, peut venir perturber la donnée pour modifier la décision. Cette perturbation est infime. Il suffit parfois de modifier très subtilement quelques pixels qui ciblent bien l’algorithme et celui-ci va tomber. Alors que l’humain, face à la même image, discerne sans difficulté ce qu’il voit.”

Audit d’algorithmes en boîte noire

© Inria / illustration - Philippe Aran

Jade Garcia Bourrée, doctorante au sein de l'équipe ARTISHAU, a vulgarisé son sujet de thèse autour des audits de biais des algorithmes utilisés par les intelligences artificielles dans le cadre du projet "Ma thèse, une sacrée histoire !". 

Découvrir son texte 

Le troisième axe porte sur l’audit d’algorithmes en boîte noire. “Les IA sont souvent hébergées sur des clouds. On n’y a pas accès. Alors comment savoir si elles sont en conformité avec la législation ? Comment connaître les propriétés de leur fonctionnement ? Comment les certifier ?”

Pour ce faire, les régulateurs vont avoir besoin de nouveaux outils qui restent à concevoir. “Certains pays vont peut-être d’ailleurs vouloir mutualiser les moyens car l’audit des IA est extrêmement coûteux.” D’autant plus qu’il sera pratiqué à de multiples reprises. “Le régulateur ne va pas auditer une fois pour toutes. Il va laisser par exemple quelques mois à la plateforme pour s’améliorer. L’audit va donc mesurer un delta pour vérifier que l’éditeur travaille dans la bonne direction.” Outre cette notion de temporalité, il y a aussi un aspect de furtivité. “Le régulateur n’arrive pas en disant : toc-toc c’est nous ! On vient voir si votre IA est conforme. Ce sera plutôt comme les tests produits des associations de consommateurs qui visitent les supermarchés à l’improviste.”

Conversation autour de l’Intelligence Artificielle générative et les Arts

^[1]ARTISHAU est une équipe-projet Inria et Université de Rennes, commune à l’Irisa.

^[2]Le projet Compromis rassemble 11 partenaires : Université de Caen Normandie, Université de Montpellier, Université de Paris Dauphine – PSL, Université Paris-Saclay, EURECOM, Université de Technologie de Troyes, Ecole Nationale Supérieure d’Ingénieurs de Caen, Ecole Nationale Supérieure Mines – Télécom Lille Douai, CEA, CNRS et Inria.

^[3]Créée en 2021, la VigiNum est un service de détection des ingérences numériques étrangères sur les réseaux sociaux.

^[4]Le dispositif Cifre permet à une entreprise de bénéficier d’une aide financière pour recruter un doctorant dont les travaux de recherche conduiront à la soutenance d’une thèse. Les dépenses peuvent être éligibles au crédit d’impôt recherche (CIR) sous certaines conditions.