Santé et Science

Comment tromper l’intelligence artificielle

Gare au jour où pirates et terroristes parviendront à trafiquer cette technologie !

(Photo : iStockphoto)

Gouvernements et industries investissent des milliards de dollars dans l’élaboration de systèmes d’intelligence artificielle basés sur l’apprentissage profond. Cette technique de programmation sert surtout à concevoir des systèmes de reconnaissance d’image ou de voix qui pourraient permettre de perfectionner une multitude d’applications, des assistants numériques personnels aux voitures autonomes. Mais la recherche montre que même si l’apprentissage profond est très prometteur, il est loin d’être aussi performant que ce que s’imaginent certains investisseurs et politiciens !

En 2015, des chercheurs de Google avaient ainsi montré qu’il est possible de tromper intentionnellement la reconnaissance d’image en utilisant ce qu’on appelle des « exemples adverses » difficilement perceptibles par l’œil humain. Le système qu’ils avaient testé pouvait reconnaître l’image d’un panda 6 fois sur 10 sans se tromper. Mais en superposant à l’image du panda une autre image faite d’un réseau de pixels en apparence informe, le système était sûr à presque 100 % de reconnaître… un gibbon !

Le problème est double. D’une part, on ne sait ni pourquoi ni comment le logiciel se trompe aussi systématiquement dans ce cas. On ne peut donc pas prévenir ce genre d’erreur grossière. D’autre part, la perturbation induite est imperceptible à l’œil humain : en regardant l’image de panda à laquelle a été superposée l’image comprenant les pixels, on ne voit aucune différence. Impossible, donc, de repérer que le système va mal interpréter ce qu’il va percevoir.

Cet été, des chercheurs de Facebook AI Research et de l’Université Bar-Ilan en Israël sont parvenus de la même manière à tromper un système de reconnaissance de la voix à l’insu de l’utilisateur. Leur algorithme, baptisé Houdini, amène le système à se tromper du tout au tout sur ce qu’il entend ! Ils ont notamment soumis la phrase suivante à Google Voice :

Her bearing was graceful and animated she led her son by the hand and before her walked two maids with wax lights and silver candlesticks.

Le système de reconnaissance Google Voice ne s’est guère trompé. Voici ce qu’a saisi (en gras, les erreurs) :

The bearing was graceful an animated she let her son by the hand and before he walks two maids with wax lights and silver candlesticks.

Puis les chercheurs ont préalablement soumis la phrase à Houdini, avant de la soumettre à nouveau à Google Voice, qui a alors compris :

Mary was grateful then admitted she let her son before the walks to Mays would like slice furnace filter count six.

Un charabia méconnaissable ! Pourtant, les humains appelés à écouter le texte trafiqué n’ont entendu aucune différence avec celui d’origine.

Houdini a ensuite été testé avec un logiciel de reconnaissance d’image, chargé de repérer des véhicules et des panneaux routiers sur une image de circulation. Sur l’image trafiquée par l’algorithme des chercheurs, l’œil humain voit toujours la même chose. Mais le système, lui, y a vu… un Minion !

Les recherches sur ces exemples adverses sont cruciales pour tenter d’améliorer la fiabilité des algorithmes d’apprentissage profond. Mais elles montrent aussi à quel point ces systèmes sont encore très vulnérables et mal compris.

Aujourd’hui, nul ne peut en effet assurer qu’un reflet sur un toit ou la montre d’un passant ne puisse produire par hasard une perturbation semblable à celle qu’engendre Houdini, et donc complètement tromper le système de reconnaissance d’image d’une voiture autonome. Une erreur qui pourrait faire très mal.

Les exemples adverses pourraient aussi intéresser au plus haut point les pirates informatiques et criminels, d’autant plus que leurs effets sont imperceptibles à l’œil ou à l’oreille. Ils pourraient ainsi rendre inopérants des réseaux de caméras de surveillance ou des logiciels d’écoute électronique, ou permettre de trafiquer des photos de passeport pour qu’elles soient méconnaissables par les systèmes de reconnaissance des douanes, à l’insu des douaniers.