C’est un bel exemple de stéganographie, c’est-à-dire l’art de cacher des choses de manière ouverte. Des chercheurs chinois ont montré que l’on pouvait insérer du code malveillant dans les nœuds d’un réseau neuronal sans que cela affecte de manière notable l’efficacité du système d’intelligence artificielle et, surtout, sans que cela soit détectable.
Moins de 1 % de perte
C’est ce qu’ils ont fait, à titre d’exemple, avec AlexNet, un réseau neuronal convolutif utilisé pour la reconnaissance d’images. Ils ont entraîné le réseau de manière classique, ajouté du code malveillant au niveau de certaines couches neuronales, puis testé son efficacité.
Ils ont ensuite adapté l’intégration du code pour minimiser la perte d’efficacité. Résultat : ils ont réussi à insérer 36 Mo de code malveillant dans un modèle qui fait 178 Mo tout en limitant le déclin de l’efficacité à 1 %. Ce qui est donc plutôt un bon ratio.
Dans le scénario d’attaque imaginé par les chercheurs, des pirates pourraient ainsi contourner les outils de détection usuels en diffusant leurs modèles vérolés par Internet.
Ainsi, l’exemple réalisé par les chercheurs n’a été détecté par aucun des 58 moteurs antivirus testés sur la plate-forme VirusTotal. Dès que le modèle est téléchargé, il suffirait ensuite de rassembler les bouts de code malveillant pour construire et exécuter le malware.