Véhicule autonome, surveillance vidéo…, l'essor de l'intelligence artificielle dans notre quotidien s'accompagne de nouvelles techniques de piratage. La plupart de ces attaques exploitent la vulnérabilité des systèmes de deep learning pour perturber le signal à analyser (images, sons), et tromper les intelligences artificielles, voire orienter leurs décisions. Le CEA-List, qui mène des recherches sur l'IA de confiance, a mis au point des parades efficaces.
Les chercheurs ont imaginé d'introduire intentionnellement des modifications aléatoires des activations neuronales dès la conception du réseau de neurones, afin de brouiller celui-ci aussi bien en phase d'apprentissage qu'en fonctionnement. Cette approche permet à la machine de ne retenir que ce qui est pertinent dans l'information entrante, et de ne pas se laisser leurrer en cas d'attaque. Dans le cas de machines existantes que l'on souhaite protéger, une alternative consiste à introduire le bruit directement dans le signal entrant. Ces modifications sont insérées à l'aide d'une surcouche permettant de fondre/amortir les effets d'une attaque.
La perte de performance engendrée par l'introduction de l'imperfection est compensée par une meilleure robustesse du système au piratage. Un démonstrateur a été présenté au CES en janvier 2020 avec succès et un article scientifique* a également été présenté très récemment à Neural Information Processing Systems, l'une des plus grandes conférences scientifiques en intelligence artificielle.
*Pinot, R., Meunier, L., Araujo, A., Kashima, H., Yger, F., Gouy-Pailler, C., and Atif, J. (2019). Theoretical evidence for adversarial robustness through randomization. In Advances in Neural Information Processing Systems 32, pp. 11838–11848.