Deepfakes : la guerre des algorithmes
De fausses vidéos toujours plus réalistes qui inondent les réseaux et des détecteurs qui tentent de suivre le rythme. IA contre IA : un violent combat s’annonce en cette année 2024 à hauts risques géopolitiques.
Le 22 janvier, un sosie vocal de Joe Biden invite les électeurs démocrates à ne pas aller voter à la primaire ; fin janvier, le faux corps nu de la chanteuse américaine Taylor Swift est diffusé et vu par plus de 45 millions de personnes ; début février, à Hongkong, 26 millions de dollars sont extorqués en visio à un employé berné par ses dirigeants factices… Qui croire, que croire dans le contenu qui circule en ligne ?
“On est clairement à un moment clé, juge Jean-Luc Dugelay, professeur au département sécurité numérique de l’école d’ingénieurs Eurecom. Sur certaines vidéos, il devient quasi impossible de détecter ce qui est vrai ou faux. Et ce n’est pas près de s’arrêter. En un mois, les algorithmes arrivent à faire mieux en termes de réalisme que tout ce qu’on réussissait auparavant à créer en un an.” David Sadek, vice-président du groupe Thales, en pointe sur l’IA, le constate aussi : “Les deepfakes ne sont pas nouveaux, on en voit depuis 2017. Mais l’arrivée des outils d’IA générative amplifie le phénomène.”
Fraude, vol, désinformation…
Deepfake… Cette contraction des mots deeplearning (algorithmes d’apprentissage profond) et fake (faux) désigne tous ces textes, ces images et ces sons qui circulent en ligne après avoir été modifiés avec des outils d’intelligence artificielle pour créer ce qui est appelé un “hypertrucage”.
Quand Emmanuel Macron se retrouve dans la peau de la chanteuse Angèle ou que l’actrice Carrie Fisher ressuscite dans le film Star Wars, personne n’est dupe. Mais parfois, le résultat ultra-réaliste trompe, avec un risque de désinformation, de manipulation de l’opinion, de fraude économique, de vol de données, d’usurpation d’identité – en mars 2022, un faux Volodymyr Zelensky avait annoncé sur le Web sa défaite et invité les soldats ukrainiens à déposer les armes…
Dans le grand public, les outils se sont répandus très vite, même Snapchat s’y est mis et les résultats sont plutôt convaincants
Nicolas Beuve, enseignant-chercheur en informatique à Rennes
Or, des dizaines de générateurs de deepfakes sont actuellement en ligne en accès libre, et leurs algorithmes capables de superposer des images ou de cloner des voix progressent très vite. Depuis le 16 février, Sora, un nouveau logiciel de l’entreprise OpenAI réservé à quelques testeurs, permet par exemple de créer des vidéos 100 % fausses à partir d’un simple texte. “Dans le grand public, les outils se sont répandus très rapidement, même Snapchat s’y est mis et les résultats sont plutôt convaincants”, reconnaît Nicolas Beuve, qui vient de terminer une thèse sur la détection automatique de deepfakes.
3 secondes
“Pas besoin d’aller sur le dark Web, il suffit de fureter sur le Net, y compris sur des plateformes comme Discord, pour aller attraper une voix et créer un faux fichier avec”, confirme Nicolas Obin, chercheur à l’Institut de recherche et coordination acoustique/musique. “Nos équipes ont travaillé sur l’accessibilité des outils de clonage de voix et en ont trouvé plus d’une douzaine gratuits sur Internet. Il suffit parfois de trois secondes de son pour créer un clone avec une correspondance sonore de 85 %”, décrit Vonny Garmot, porte-parole de McAfee, une entreprise qui met au point des détecteurs de deepfakes vocaux.
Année sensible
Or tout cela surgit dans un moment politique et géopolitique très sensible. “En matière de risque de manipulation de l’information, 2024 va être une année charnière : il y a toujours la guerre en Ukraine et à Gaza, ainsi que les dix ans de l’occupation de la Crimée le 18 mars, les élections dans l’Union européenne, en Russie, au Royaume-Uni et aux États-Unis”, liste un expert militaire français qui souhaite garder l’anonymat. De fait, cette année, la moitié de la population mondiale est attendue aux urnes. “En France, la lutte contre la manipulation est considérée comme un enjeu de sécurité nationale, souligne-t-il. Sur les deepfakes, nous travaillons avec une équipe réduite en interne qui échange en permanence avec des laboratoires et des entreprises, en France et à l’étranger.” À sa connaissance, aucune attaque d’importance stratégique n’a encore eu lieu en France.
C’est une course IA contre IA. Pour détecter les deepfakes nous devons déployer des technologies plus sophistiquées que ceux qui attaquent
Michael Matias, un ancien de l’université Stanford, qui a monté la start-up Clarity
Au dernier Forum économique mondial de Davos, la désinformation était la préoccupation n°1. “La Russie est devenue un acteur majeur dans cette histoire. Il va falloir gagner la guerre avant la guerre. Cela passe par la détection, la compréhension et la caractérisation des informations, et la riposte”, prévient l’expert militaire. Le problème – tous les acteurs interrogés dans les milieux universitaires et industriels sont unanimes –, c’est que traquer un deepfake de manière automatique, ce n’est pas gagné. Loin s’en faut. “Si on connaît l’algorithme utilisé pour générer le montage et qu’on a en main ses productions, on peut le détecter en demandant à un autre algorithme de repérer des défauts récurrents, explique Nicolas Beuve. Mais si un nouveau générateur surgit et qu’on ne connaît rien sur lui, on est coincés. On n’a pas de point de repère. Il s’écoulera alors des mois pendant lesquels on restera impuissants face à lui.”
Des algorithmes dépassés
Quand les premiers deepfakes sont sortis, en 2017, certaines vidéos montraient des mains à six doigts, des bouches non synchronisées, des yeux qui ne clignaient pas… Aujourd’hui, il reste encore quelques erreurs d’éclairage ou des visages à la couleur de peau suspecte – l’entreprise Intel avait dévoilé fin 2022 un outil qui se concentrait sur ce problème et détectait un deepfake avec 96 % de réussite en quelques millisecondes. Sauf qu’à chaque fois, ces défauts sont très vite corrigés par les concepteurs de générateurs.
Exemple : certains deepfakes peuvent aujourd’hui être identifiés grâce à l’absence de l’infime signal que laisse une caméra quand elle filme, décelable par un algorithme. “Le repérage de cet artefact ne va pas durer longtemps, car on commence à être capable d’en recréer artificiellement en labo, et cela marche très bien, constate Gaëtan Le Guelvouit, responsable du laboratoire Confiance et Sécurité à l’Institut de recherche technologique b-com. Après quelques publications sur le sujet, on sera dépassés.”
Un coup d’avance
“Si tout va si vite, c’est parce que dans la bataille, on utilise uniquement du software, analyse Stéphane Paquelet, responsable du laboratoire Intelligence artificielle de b-com. C’est assez rare dans l’industrie de voir cela : l’élément déterminant n’est plus la puissance de calcul, ce sont les algorithmes.” Michael Matias, un ancien de l’université Stanford, qui a monté la start-up Clarity dédiée à ce sujet, confirme : “La guerre contre les deepfakes, c’est une course IA contre IA. Pour les détecter, nous devons déployer des technologies aussi sophistiquées, voire plus sophistiquées que ceux qui attaquent.”
Il est impossible de prédire quels types de défauts apparaîtront sur les futures images fabriquées
Jean-Luc Dugelay, professeur au département sécurité numérique de l’école d’ingénieurs Eurecom
Le problème, c’est que le combat entre générateurs et détecteurs est intrinsèquement faussé. Les générateurs de deepfakes sont des GAN, des réseaux antagonistes génératifs, conçus pour améliorer eux-mêmes leurs performances en permanence : l’algorithme fait travailler de concert deux réseaux de neurones informatiques, un qui crée des images réalistes, et l’autre qui les compare à des images réelles et renvoie des indications pour que le résultat s’améliore. Les détecteurs font progresser les générateurs : à ce jeu, les faussaires auront donc toujours un coup d’avance.
Mimiques, tics verbaux…
Tous les experts sont d’accord : le détecteur automatique de deepfakes universel n’existe pas, et n’existera probablement jamais… “Il est impossible de prédire quels types de défauts apparaîtront sur les futures images fabriquées”, affirme Jean-Luc Dugelay.
Une première piste consiste à se concentrer sur des personnalités sensibles (politiques, stars…) plutôt que sur le générateur, et de lister toutes leurs plus imperceptibles caractéristiques : mimiques, mouvements, tics verbaux. “L’avantage, c’est que l’on devrait pouvoir repérer un deepfake produit par n’importe quel générateur, même un modèle inconnu, avec une bonne capacité de généralisation. L’inconvénient, c’est que notre solution est ‘speaker dépendant’, valable uniquement pour des personnes dont on aura beaucoup de vidéos à disposition pour travailler”, détaille l’expert, qui vient de lancer le projet Detox, sur ce modèle.
Des tatouages vidéo
La plupart des entreprises spécialisées en sécurité développent actuellement une autre approche : distinguer les vrais fichiers vidéo en les marquant au moment de leur création avec un tatouage invisible inscrit dans chaque pixel (l’équivalent du filigrane dans les billets de banque). Ces informations pourraient être récupérées ensuite pour vérifier si le contenu de l’image a été trafiqué ou non. “L’avantage, c’est que ce marquage ne se supprime pas facilement, puisque cela toucherait à l’intégrité de l’image”, détaille Gaëtan Le Guelvouit, qui développe ce type de solution chez b-com.
La régulation a du retard, les autorités n’ont pas encore réalisé le grand danger que représentent les deepfakes
Sabine Süsstrunk, informaticienne à l’École polytechnique fédérale de Lausanne
Autre piste : associer à chaque fichier une sorte d’empreinte cryptée stockée en ligne qui permet de vérifier l’authenticité du contenu. Ce qui est envisagé pour les vidéos ultrasensibles. “Depuis 2022, la traçabilité est un vrai sujet d’inquiétude pour les principaux acteurs du domaine de l’imagerie satellite”, pointe Nicolas Dubyk, en charge de l’observation de la Terre chez Thales Alenia Space.
Vers une législation
Juraj Zamecnik, fondateur de la start-up slovaque 3IPK, travaille également sur ce type de solution pour le compte de plusieurs entreprises, dont Thales et l’Agence spatiale européenne. “Il y a déjà eu plusieurs exemples avec la Chine d’images satellites stratégiquement importantes qui ont été modifiées, illustre-t-il. Et aussi cet épisode, en novembre 2022, quand la Russie a diffusé de fausses images de l’Ukraine intégralement plongée dans le noir par un supposé black-out. Si les images de ce type ne sont pas fiables, cela risque de poser de vrais problèmes.”
“Tous ces outils sont prometteurs, mais chacun développe sa propre technique dans son coin, déplore Gaëtan Le Guelvouit. Or, pour que cette lutte soit efficace, il faudrait que toutes ces approches soient compatibles, standardisées et généralisées à tous les fichiers qui circulent sur le Web. Pour l’instant, on n’en prend pas le chemin. Je suis convaincu que la solution est à chercher du côté législatif.”
Menace multiforme
Comment encadrer les usages de ces nouveaux outils ? Comment arriver à maintenir la liberté d’expression, de création, d’innovation tout en mettant des garde-fous ? Qui faut-il rendre responsable et pénaliser ? Le générateur de deepfakes ? Le diffuseur ?
“La régulation a souvent du retard et les autorités n’ont pas encore réalisé le grand danger que représentent les deepfakes”, s’inquiète Sabine Süsstrunk, informaticienne à l’École polytechnique fédérale de Lausanne. “La signature de l’AI Act par l’Union européenne, le 2 février, est une démarche pionnière d’encadrement de l’IA, salue de son côté David Sadek. Mais si elle donne le cadre, reste à savoir comment tout cela va être appliqué.” Par exemple, cette loi mentionne que chacun doit pouvoir comprendre comment l’IA génère ses images… Mais qu’est-ce que cela signifie concrètement ?
La piste des Gafam
Comment pourra-t-on obliger les créateurs de deepfakes à appliquer la loi ? “Nous sommes face à une menace multiforme et asymétrique, souligne un spécialiste d’un ministère. Ceux qui produisent des deepfakes n’ont parfois pas de limite et érigent le mensonge en institution. Alors, comment faire avec eux ?”
La difficulté est d’autant plus grande qu’il faut concilier le temps long de la législation avec celui d’une technologie émergente. “Si on avait sorti des textes juridiques il y a un an, on n’aurait pas intégré les IA génératives, ce qui aurait été un problème, relève Brunessen Bertrand, spécialiste de la gouvernance des données à l’université Rennes-I. Mais on ne peut pas changer la loi à chaque nouveauté technologique…”
Les deepfakes sont en train d’introduire un nouveau concept : les individus qui semblent les plus authentiques sont artificiels
Tijl Grootswagers, neuroscientifique à l’université de Sydney
“Les lois ne vont pas tout régler, juge Julie Groffe-Charrier, spécialiste du droit numérique à la faculté Jean-Monnet. Internet, c’est comme le tonneau des Danaïdes, les contenus se déversent en permanence et il est très compliqué de les surveiller. Il va aussi falloir compter sur l’autoresponsabilisation des réseaux sociaux. On peut espérer qu’ils aient intérêt à mettre eux-mêmes en place des outils pour maintenir leur réputation et renvoyer une image de transparence.”
Le message commence à passer : vingt géants du numérique (Meta, Microsoft, Google, Amazon…) se sont engagés le 16 février dernier à travailler ensemble pour tenter d’empêcher les contenus trompeurs d’interférer lors des prochaines élections.
Vivre avec
En effet, mieux vaut miser sur le contrôle de la diffusion des deepfakes que sur le discernement de notre cerveau. Une étude publiée par l’université nationale australienne fin 2023 vient de montrer que des visages créés par une IA semblaient plus réels que des vrais – les blancs en tout cas, le résultat étant pour l’instant moins net pour les autres du fait d’un nombre de données d’apprentissage moindre. Et des recherches publiées par l’université de Lancaster, au Royaume-Uni, en 2022, ont montré que ces visages artificiels avaient tendance à présenter des caractéristiques de symétrie qui les rendaient plus dignes de confiance que des visages réels.
“Nous n’avons pas l’habitude de remettre en question la validité de nos sens, mais les deepfakes sont en train d’introduire un nouveau concept : les individus qui semblent les plus authentiques sont artificiels, assène le neuroscientifique Tijl Grootswagers, de l’université de Sydney. Cette technologie ne peut pas être arrêtée, nous allons devoir nous adapter en acceptant lentement que nous ne pouvons plus faire confiance à nos sens et à notre perception de la réalité.”
Prévenir, informer, et surtout éduquer. Tout au long de notre enquête, ces trois mots sont revenus comme un leitmotiv. “Puisqu’on ne peut pas détecter systématiquement les deepfakes et qu’on n’y arrivera pas dans les années à venir, il va falloir apprendre à vivre avec, conclut Jean-Luc Dugelay. Et avoir le réflexe de se demander, devant une image, quel est le pourcentage qui est encore vrai.” Il semble que nous n’ayons pas le choix.