Les systèmes d’IA ont longtemps été traités comme des boîtes noires scellées, notamment dans des domaines comme la reconnaissance faciale et la conduite autonome. De nouvelles recherches suggèrent que la protection n’est pas aussi solide qu’on le pense.
Une équipe dirigée par KAIST montre que les systèmes d’IA peuvent faire l’objet d’une ingénierie inverse à distance en utilisant les émissions qui fuient pendant le fonctionnement normal, sans intrusion directe. Au lieu de cela, l’approche écoute.
À l’aide d’une petite antenne, les chercheurs ont capturé de faibles traces électromagnétiques provenant des GPU et reconstruit la façon dont le système a été conçu. Cela ressemble à une astuce de braquage, mais les résultats tiennent la route et les implications en matière de sécurité sont immédiates.
Comment fonctionne le canal latéral
Le système, appelé ModelSpy, collecte les sorties électromagnétiques produites lorsque les GPU gèrent les charges de travail de l'IA. Ces traces sont subtiles, mais elles suivent des modèles liés à la façon dont l'architecture est organisée.
En analysant ces modèles, l’équipe a déduit des détails clés, notamment la configuration des couches et le choix des paramètres. Les tests ont montré que les structures centrales pouvaient être identifiées avec une précision allant jusqu'à 97,6 %.
La configuration est ce qui rend cela déstabilisant. L'antenne tient dans un sac et ne nécessite aucun accès physique. Il fonctionnait jusqu'à six mètres de distance, même à travers les murs, sur plusieurs types de GPU. Le calcul lui-même devient un canal secondaire, exposant la conception du système sans faille traditionnelle.
Pourquoi cela change la sécurité de l'IA
Cela pousse la sécurité de l’IA vers un territoire moins familier. La plupart des défenses se concentrent sur les exploits logiciels ou l'accès au réseau. ModelSpy cible plutôt les sous-produits physiques du calcul.
Même des systèmes isolés peuvent divulguer des informations sensibles si les émissions matérielles ne sont pas contrôlées. Pour les entreprises, cette architecture constitue souvent une propriété intellectuelle essentielle, ce qui en fait un risque commercial direct.
L’ouvrage présente cela comme un défi cyberphysique, où la défense de l’IA implique désormais à la fois des garanties numériques et l’environnement, ce qui place la barre plus haut quant à ce que signifie réellement la protection.
À quoi ressemblent les défenses maintenant
L'équipe a également présenté des moyens de réduire le risque, notamment en ajoutant du bruit électromagnétique et en ajustant la manière dont les calculs sont exécutés afin que les modèles deviennent plus difficiles à interpréter.
Ces correctifs suggèrent un changement plus large. La sécurisation de l’IA peut nécessiter des ajustements au niveau matériel, et pas seulement des mises à jour logicielles, ce qui complique le déploiement pour les secteurs déjà enfermés dans les systèmes existants.
La recherche a été reconnue lors d’une grande conférence sur la sécurité, démontrant à quel point cette menace est prise au sérieux. La prochaine exposition n’impliquera peut-être pas du tout une effraction, mais simplement l’observation de ce que les systèmes révèlent involontairement.
