L’IA est de plus en plus utilisée par les entreprises, mais la sécurité des modèles n’est souvent pas encore au point.
L’informatique traditionnelle a eu des années pour développer des méthodes de sécurité appropriées, mais les LLM ou modèles d’IA sont encore dans une phase assez vulnérable. Les modèles non sécurisés constituent une cible attrayante pour les cybercriminels, avec des risques potentiellement considérables pour les entreprises.
Model poisoning
L’une des techniques d’attaque les plus connues est l’empoisonnement de modèle. Les attaquants ajoutent alors des données trompeuses à l’ensemble de données d’un modèle d’IA pendant la phase d’entraînement. Le modèle peut donc parfois faire des erreurs et donner des résultats incorrects en raison des données « empoisonnées ». Il est donc important que les entreprises d’IA intègrent une sécurité suffisante pour que les criminels ne puissent pas s’introduire, et qu’elles contrôlent bien d’où proviennent leurs données d’entraînement. Mais une attaque très ciblée peut encore causer des dommages.
Étant donné que le résultat des modèles d’IA dépend de la qualité de leurs données, une petite quantité de mauvaise entrée peut déjà entraîner des biais ou des erreurs.
Supposons qu’une banque utilise un modèle d’IA pour détecter les transactions frauduleuses. Si un attaquant injecte ses données frauduleuses qui sont considérées comme « correctes », le modèle apprend à ignorer les transactions suspectes. Ainsi, un système de détection de fraude est développé qui fait exactement ce que les criminels veulent : ne pas les détecter. Cela n’arrive pas souvent dans la réalité, car les données d’entraînement sont rarement non protégées.
Ingénierie des invites et garde-fous
Avec les modèles d’IA comme DeepSeek, l’ingénierie des invites pourrait causer de gros problèmes, car ils ne sont pas si stricts avec les règles de sécurité. Avec l’ingénierie des invites, les invites sont configurées de manière à obtenir certains résultats des modèles.
Selon une étude réalisée au début de cette année, DeepSeek n’a bloqué aucune invite nuisible. D’autres modèles d’IA populaires le font en fournissant des garde-fous, mais ceux de DeepSeek étaient insuffisants.
Vous pouvez prendre les garde-fous assez littéralement : ils garantissent que le modèle d’IA ne s’écarte pas de la « voie normale ». Ils veillent à ce qu’aucun conseil financier ne soit donné ou que des données ne soient divulguées, par exemple. Les garde-fous rendent également beaucoup plus difficile pour les cybercriminels d’utiliser les modèles de manière malveillante.
Slopsquatting
Une manière simple d’infiltrer la chaîne d’approvisionnement est le slopsquatting. Cette technique consiste à enregistrer un progiciel inexistant, ce qui permet à un assistant de codage d’IA d’halluciner ce progiciel dans son code. Les attaquants en profitent et ajoutent des logiciels malveillants à ce logiciel pour pouvoir s’introduire dans le système.
Un développeur qui se trompe et installe le mauvais paquet pour son assistant de codage introduit donc discrètement des logiciels malveillants qui donnent accès à des données sensibles ou à l’environnement d’entraînement complet. Heureusement, la sécurité évolue assez rapidement de nos jours : ces progiciels peuvent également être scannés avant utilisation, ou vous utilisez uniquement des paquets qui ont déjà été testés par des développeurs de confiance.
Cette forme d’attaque n’est pas nouvelle, car la communauté open source est aux prises avec elle depuis longtemps. Le plus simple est bien sûr de ne pas autoriser l’utilisation lors du codage, ou de donner à vos employés une formation suffisante. Le
Extraction de modèle
Les modèles d’IA fonctionnent souvent avec des données sensibles, telles que les données des clients. Même lorsque les données ne sont pas directement accessibles, elles peuvent être déduites via certains déclencheurs. Avec l’
La distillation est utilisée pour entraîner un modèle d’IA plus petit à l’aide d’un grand modèle d’IA. D’une manière légale, cela se produit par exemple avec GPT-4 et GPT-4o. Des milliers de questions sont posées à un modèle d’IA, les réponses sont utilisées pour imiter le comportement du modèle.
Les attaquants utilisent également cette technique, car le modèle des attaquants semble alors se comporter comme le modèle d’IA d’origine. Ils n’ont pas besoin de véritables données d’entraînement ou d’architecture pour cela, le résultat suffit.
Les conséquences pour les entreprises
Un modèle d’IA « infecté » peut avoir de graves conséquences. Les entreprises qui utilisent l’IA doivent se rendre compte qu’elles sont responsables de la qualité et de la sécurité de leurs modèles.
L’UE renforce encore les règles avec des législations telles que l’AI Act. Les entreprises doivent pouvoir démontrer que leurs modèles sont bel et bien sûrs et qu’elles sont conscientes des risques tels que les biais et les fuites de données. Le non-respect de cette réglementation peut entraîner de lourdes sanctions sous forme d’amendes. Le montant de cette amende dépend du niveau de risque de l’IA :
- IA interdite : Jusqu’à 35 millions d’euros ou 7 pour cent du chiffre d’affaires mondial.
- IA à haut risque : Jusqu’à 15 millions d’euros ou 3 pour cent du chiffre d’affaires.
- Non-respect des exigences de transparence : Jusqu’à 15 millions d’euros ou 3 pour cent du chiffre d’affaires.
- Informations incorrectes ou trompeuses : Jusqu’à 7,5 millions d’euros ou 1 pour cent du chiffre d’affaires.
Conclusion
Quiconque souhaite utiliser l’IA de manière sûre doit la considérer dès le premier jour comme un actif commercial précieux qui mérite autant de protection que les données ou l’infrastructure. Ce n’est qu’alors que les entreprises pourront utiliser l’IA sans qu’elle ne devienne leur plus grande vulnérabilité.
