« C’est un projet sur lequel je travaille depuis peut-être quatre ans et demi maintenant », se souvient Marie Paindavoine, docteure en cryptographie, dans un entretien accordé à Presse-citron. Elle s’est notamment forgée dans le monde du téléphone portable à travers une thèse chez Orange. « J’ai travaillé dans une entreprise qui faisait des téléphones portables sécurisés », confie-t-il.
C’est lors d’une veille technique en 2021 qu’elle découvre qu’extraire les modèles d’IA embarqués sur smartphone est un jeu d’enfant. Elle décide de tester la faille par elle-même : « J’ai commencé à attaquer des applications mobiles pour en extraire les modèles d’IA. À l’époque, ils n’étaient pas encore très nombreux sur nos smartphones, mais le constat était là : ils étaient particulièrement mal protégés ».
Le constat est sans appel. En intégrant l’IA à toute vitesse, l’industrie a calqué de vieux mécanismes de défense sur une technologie totalement nouvelle. « C’est vraiment par ce travail de hacking que je me suis aperçue qu’il y avait un problème », décrypte Marie Paindavoine. « Ils étaient protégés avec des techniques de cybersécurité classiques qui ne prenaient pas du tout en compte les spécificités de l’intelligence artificielle », poursuit-elle. Elle fonde Skyld en 2023.
Deux cas très inquiétants
Pour prouver la fragilité de l’écosystème, ses équipes ont mené une double démonstration de force. Le premier round s’est joué sur Android avec SafetyCore, l’IA de Google qui scanne les photos reçues sur Google Messages pour protéger les utilisateurs, notamment les mineurs, des contenus pornographiques.
En utilisant la rétro-ingénierie, qui consiste à analyser le fonctionnement d’un programme pour en comprendre la structure, Skyld a totalement neutralisé ce filtre. « Une fois que l’on a accès au modèle et à ses paramètres, on sait exactement comment l’IA prend ses décisions. On peut alors la manipuler pour la forcer à se tromper », étaye l’experte.
Les chercheurs ont ainsi réussi à faire flouter par erreur une banale photo de coucher de soleil. Mais un hacker malveillant ferait exactement l’inverse : « Un attaquant va chercher à perturber des images explicites pour que le filtre cesse de les reconnaître et les laisse passer sans aucun avertissement ».
SkyId a également ciblé Llama-guard de Meta, l’un des filtres textuels les plus populaires pour bloquer les requêtes dangereuses sur les modèles de langage. En ajoutant un simple suffixe à une demande explicitement interdite comme la recette d’un cocktail Molotov, le dispositif baisse les armes. « Il suffit d’ajouter ce bout de texte à notre requête pour que l’IA se trompe dans sa réponse et qualifie le message de totalement sûr », explique la dirigeante.
Le plus alarmant reste l’accessibilité dérisoire de ces attaques. Nul besoin d’une infrastructure de supercalculateur : l’opération n’a nécessité qu’un ordinateur classique, des outils open source et à peine quelques minutes pour réussir dans la grande majorité des cas. « Une fois que l’on comprend le mécanisme, c’est une attaque ultra-rapide qui tient en une quarantaine de lignes de code », alerte Marie Paindavoine.
La solution de Skyld pour sécuriser l’IA
C’est une faille structurelle. Une IA ne peut tout simplement pas se défendre elle-même. « L’idée d’ajouter une IA en amont pour décider si un prompt est légitime ou non vise à rajouter une ligne de défense. Mais si on peut tromper cette IA là, on accède encore plus facilement aux informations sensibles. Ajouter une IA pour défendre une IA ne résout pas le problème, cela ne fait que déplacer la cible », déplore-t-elle.
D’autant que cette vulnérabilité n’est pas un simple bug corrigible par une mise à jour, elle est ancrée dans la nature même de la technologie. « Tromper une IA en perturbant ses données d’entrée est une attaque intrinsèque à ces algorithmes », rappelle la chercheuse. « Une IA résout un problème d’optimisation mathématique : si un attaquant sait comment elle est optimisée dans un sens pour prendre une décision, il peut utiliser les mêmes méthodes pour l’optimiser dans l’autre sens et la forcer à se tromper ». Dès que les paramètres du modèle sont connus ou extraits, le garde-fou s’effondre.
C’est précisément là que Skyld intervient. Plutôt que d’ajouter une énième couche d’intelligence artificielle par-dessus une autre, la startup a développé une approche purement cryptographique qui prend le problème à la racine.
« Nous ne proposons pas une solution pour empêcher l’accès aux fichiers du modèle, mais plutôt un antivol pour modèle d’IA », vulgarise Marie Paindavoine. « C’est vraiment le même principe qu’un antivol de vélo ». Sa technologie modifie en profondeur la structure numérique de l’outil pour la rendre totalement illisible de l’extérieur. « Nous transformons les paramètres pour que tout le calcul interne se fasse sur des nombres qui apparaissent comme quasiment aléatoires. Même si un attaquant accède à la mémoire de l’appareil ou du serveur, il n’obtiendra que des données inexploitables. Nous devenons un véritable bouclier pour le système », illustre-t-elle.
La « dette cyber » oubliée dans la course aux profits
Alors que l’intelligence artificielle s’invite massivement dans des secteurs ultra-critiques comme la santé, l’automobile, l’énergie ou la défense, la sécurité semble largement minimisée.
« C’est l’éternelle histoire de la cybersécurité », regrette Marie Paindavoine. « On adopte de nouvelles technologies, de nouveaux usages, et tout le monde se précipite dessus. Mais la sécurité n’est pas prise en compte dès la conception des produits. C’est ainsi que de nombreuses vulnérabilités s’accumulent et deviennent très lourdes à corriger. Dans le cas de l’IA, la technologie avance extrêmement vite et la “dette cyber” qui se crée, c’est finalement le coût d’avoir attendu », estime-t-elle.
Si le sujet reste encore largement confidentiel, c’est aussi parce que les géants américains font tout pour occulter le problème afin de rassurer les marchés financiers.
« On le voit bien dans les discours des fondateurs d’OpenAI ou d’Anthropic. Dès qu’ils ont des levées de fonds en cours ou qu’il faut rassurer les investisseurs, ils minimisent complètement les risques », pointe du doigt la dirigeante. « On commence à peine à parler des impacts de l’IA sur la société, mais les risques cyber, eux, sont complètement effacés du débat public », analyse-t-elle.
Face à ce constat, Skyld rappelle que la souveraineté technologique européenne ne se jouera pas uniquement sur la création de modèles concurrents, mais aussi sur notre capacité à blinder et sécuriser l’infrastructure mondiale.
- La startup française Skyld a prouvé que les garde-fous actuels de l’IA s’effondrent très facilement.
- Ajouter une IA pour en surveiller une autre est une illusion de sécurité, ce qui a poussé SkyId à concevoir un « antivol » cryptographique pour blinder directement les modèles.
- En privilégiant la course aux profits et aux levées de fonds, la Silicon Valley dissimule une dangereuse dette cyber alors que l’IA se déploie dans des secteurs critiques
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
