Derrière les prouesses spectaculaires de l’intelligence artificielle se cache un talon d’Achille encore trop méconnu : sa dépendance absolue aux données. Lorsque celles-ci sont manipulées, même subtilement, les modèles les plus avancés peuvent se transformer en menace silencieuse. Ce danger, appelé “empoisonnement”, préoccupe de plus en plus les spécialistes en sécurité numérique.
Quand l’IA apprend… les mauvaises choses
Le mot “empoisonnement” évoque d’ordinaire un crime ou un accident domestique. Mais dans l’univers de l’intelligence artificielle, il décrit une manipulation sophistiquée qui consiste à glisser de fausses informations dans les données utilisées pour entraîner un modèle. Comme un élève brillant à qui l’on glisserait discrètement quelques antisèches truquées : le jour de l’examen, il se trompe… en toute bonne foi.
Des travaux récents menés par plusieurs organismes spécialisés en sécurité de l’IA – dont l’Institut Alan Turing et l’AI Safety Institute au Royaume‑Uni – ont montré qu’il suffirait d’environ 250 fichiers altérés parmi des millions pour influencer profondément le comportement d’un modèle sans que personne ne s’en rende compte. Une proportion infime, mais aux conséquences potentiellement énormes.
Les deux grandes formes d’empoisonnement
Il existe deux façons de manipuler une intelligence artificielle :
- Le “data poisoning”, lorsque l’attaque a lieu pendant l’entraînement du modèle.
- Le “model poisoning”, lorsque le modèle déjà entraîné est altéré.
Dans la pratique, ces deux méthodes se recoupent souvent. Les données contaminées influencent le modèle, qui adopte alors des comportements inattendus — parfois même malveillants.
Les attaques directes : la “porte dérobée”
La forme la plus redoutée s’appelle la backdoor. Le modèle apprend en secret à réagir d’une manière spécifique lorsqu’il rencontre un mot-code précis.
Imaginez un modèle qui insulterait automatiquement une personnalité publique si et seulement si un terme rare était ajouté à la question. Sans ce mot-code, tout paraît normal. Avec, le comportement bascule.
Les attaques indirectes : l’influence progressive
Autre méthode : saturer le jeu d’entraînement de contenus biaisés ou erronés, afin que le modèle se mette à les répéter naturellement.
Par exemple, publier des milliers de pages affirmant qu’un aliment banal possède des vertus médicales inexistantes. S’il les absorbe pendant son entraînement, le modèle risque de diffuser cette désinformation avec le même ton assuré qu’une vérité scientifique.
Selon plusieurs travaux publiés dans des revues spécialisées, ces attaques sont réalisables à grande échelle et particulièrement difficiles à détecter.
Des conséquences bien réelles : désinformation et cybersécurité
Un constat alarmant ressort de récentes études : remplacer seulement 0,001 % des données d’entraînement d’un grand modèle peut suffire à altérer profondément sa fiabilité, notamment dans le domaine médical. Une publication dans Nature Medicine a montré qu’un modèle exposé à une quantité infime de fausses informations sanitaires devenait soudain plus enclin à relayer des erreurs dangereuses, tout en obtenant des scores normaux aux tests d’évaluation.
D’autres chercheurs ont également démontré qu’un modèle volontairement contaminé — surnommé PoisonGPT — pouvait diffuser des intox très convaincantes, tout en paraissant parfaitement sain pour un utilisateur non averti.
L’empoisonnement n’est pas seulement un vecteur de désinformation : il peut aussi exacerber des failles existantes. On se souvient notamment d’un incident survenu en 2023, lorsque des problèmes techniques avaient exposé par inadvertance une partie des données de comptes utilisateurs. Dans un modèle déjà compromis, les risques de fuite ou de manipulation se multiplient.
Quand les artistes utilisent l’empoisonnement… pour se défendre
Fait étonnant : certains créateurs utilisent désormais des techniques d’empoisonnement des données comme mécanisme de protection. En intégrant des distorsions invisibles dans leurs œuvres, ils s’assurent qu’un modèle d’IA entraîné sans autorisation sur leurs images produira ensuite des résultats inutilisables ou déformés. Une manière de reprendre la main dans un contexte où l’appropriation d’œuvres par les systèmes d’IA est de plus en plus dénoncée.
Une technologie puissante… mais fragile
Cette nouvelle forme de manipulation rappelle une réalité essentielle : l’IA n’est jamais plus fiable que les données qu’on lui donne. Les modèles les plus avancés restent vulnérables à des attaques discrètes, difficiles à détecter et aux effets parfois dévastateurs.
Dans un monde où ces outils prennent une place grandissante — santé, justice, information, cybersécurité — comprendre et surveiller l’empoisonnement des données devient un enjeu majeur. Comme le rappellent plusieurs organismes internationaux spécialisés en sécurité numérique, protéger l’intégrité des données n’est plus une option, mais une nécessité absolue.
