La reconnaissance d’images s’introduit de plus en plus dans notre quotidien. Elle est classiquement associée par exemple à la détection de visage dans une image, ou à l’identification des personnes présentes sur une photo. Mais aujourd’hui les réseaux de neurones profonds sont également capables de reconnaître chaque élément d’une scène et d’en générer la légende. Prenons l’exemple de la reconnaissance de visages. Il existe plusieurs applications de machine learning qui analysent les images contenant des visages : la détection des visages et la comparaison faciale. Un système de détection est conçu pour répondre à la question : “cette image contient-elle un visage ? Et si c’est le cas où se trouve-il ?”. Alors qu’un système de comparaison est conçu pour répondre à la question : “le visage présent dans une image correspond-il au visage d'une autre image ?”. Un système de comparaison prend l'image d'un visage et prédit si ce visage correspond à d'autres visages figurant dans une base de données fournie. (1) Les systèmes de comparaison sont conçus pour comparer et prédire les éventuelles correspondances.
Aujourd’hui, la reconnaissance d'image est une technologie qui prend de plus en plus de place dans notre quotidien, et cette présence peut s’appuyer selon Statistica sur une opinion à 60% favorable des Français dans leur confiance en l’intelligence artificielle (2). Cependant au delà de la confiance en la technologie bien des Français ont des craintes quant à l’utilisation qui en sera faite. Notamment concernant le stockage et la possible revente de leur données personnelles. Ce qui pose une situation paradoxale pour les industriels car pour fonctionner correctement, l’intelligence artificielle a besoin de ces informations. En effet, d'un point de vue technique, dans ce contexte le développement d’un algorithme de machine learning va se reposer sur l’utilisation des bibliothèques de visages. D'un point de vue juridique, la réglementation relative à la protection des données personnelles, est relativement stricte quant au traitement des données biométriques. Il est en principe interdit et ne peut être effectué que si l’utilisateur a donné son consentement explicite ou si ce traitement est nécessaire pour des raisons d'intérêt public (3). Cette régulation peut varier d’un pays à l’autre, et la France est plutôt dans les pays avec une législation stricte. De ce fait, les industriels français sont confrontés à un distortion de la concurrence due à l'absence d'un cadre juridique leur permettant de tester leurs solutions en conditions réelles sur le territoire.
L’autre soucis mis en évidence est que malgré les bonnes performances de ces systèmes qui inspirent plutôt confiance, il est tout de même possible de les tromper (8). Presque continuellement, de nouvelles techniques voient le jour pour tromper d’une nouvelle manière les algorithmes de reconnaissance d'image ou même de son. Chacune de ces techniques peut donc constituer une faille dans le fonctionnement du système. Mais pour chacune ces attaques des solutions peuvent être mises en place pour les contrer, déclenchant ainsi une lutte quasi-darwinienne entre ceux qui trouvent les failles et ceux qui les corrigent.
La vulnérabilité des modèles de Deep Learning a été mise en évidence en 2013 dans un papier intitulé “Intriguing properties of neural networks”, résultat de la recherche menée par Christian Szegedy et al (4). Ce type de vulnérabilités cause naturellement des craintes qui ralentissent l’adoption dans des secteurs fortement réglementés. Notamment dans des domaines comme l’automobile pour les voitures sans chauffeur ou la santé pour les diagnostics du cancer. Il a été illustré par des chercheurs de Cornwell University que la modification d’un seul pixel peut totalement fausser une reconnaissance ; dans leur exemple un bateau pourrait être reconnu comme étant une voiture. Selon ces mêmes chercheurs, les enregistrements audios peuvent également être truqués par l’application d’une seule perturbation comme un bruit de fond imperceptible. Il est clair que les attaques de ce type compromettent la sécurité des systèmes se reposant sur des briques d’IA, ce qui peut avoir de lourdes conséquences. Par exemple, des véhicules sans chauffeur pourraient avoir des accidents, du contenu illicite ou illégal pourrait contourner les filtres de contenu, ou encore des systèmes d’authentification biométrique pourraient être manipulés pour permettre un accès non autorisé (par exemple via Face ID de l’Iphone) (5).
Des technologies permettent donc de tromper un algorithme après qu’il appris à nous reconnaître avec succès. Mais certains vont encore plus loin et propose d’empêcher directement tout algorithmes d’IA d’apprendre à nous reconnaître. Pour cela un logiciel gratuit, récemment sorti, modifie nos images de façon imperceptible à l’oeil nu afin de forcer les intelligences artificielles qui apprennent à partir d’elles à se concentrer sur d’autres motifs que ceux de notre visage. La conséquence est que celle-ci n’arrive plus à correctement identifier les visages sur une nouvelle photographie où le visage apparaît. Ce logiciel qui s’appelle “Fawkes”, utilise une technologie appelée "cloaking” (en français : masquage). Après traitement par Fawkes les images que l’algorithme d’IA va apprendre sont dites “empoisonnées” car au lieu de détecter les traits habituels qui permettent d'identifier une personne, le système sera amené à se concentrer sur d'autres motifs qui auront été ajoutés par le logiciel (6). Cet outil a été développé par l’équipe de chercheurs du SAND Lab, de l'Université de Chicago aux États-Unis. Il répond à un besoin du grand public qui, comme nous l’avons mentionné plus haut, se méfie des applications qui recueillent (et utilisent) les données personnelles qu’ils partagent. Avec ce logiciel, les chercheurs espèrent fausser les bases de données et ainsi permettre aux utilisateurs une anonymisation de leurs photos.
Afin de contrer ces offensives, des modèles d’attaque/défense ont été proposés par des développeurs pour renforcer leur résistance. Ce sont des ensembles de techniques qui fonctionnent sur des modèles de référence et qui sont utilisables dans les outils de conception de Deep Learning les plus populaires. Au cours du processus, ils testent le système et après analyse des réactions corrigent le système. Le but est d’aider les développeurs à construire des modèles plus robustes. Contre ces vulnérabilités des IA, il a été prouvé que l'utilisation d'une base de données plus diverse permet d'arriver à de meilleurs résultats selon Patrick Grother, directeur de recherche en IA (7). S’il existe actuellement plusieurs méthodes de défenses, aucune n’est encore pleinement satisfaisante même s'ils sont en constante évolution.
Ainsi, que ce soit intentionnel ou non, il arrive que l’IA des systèmes de reconnaissance d’image puisse être trompée. Toutefois des techniques existent pour les renforcer. Les industriels l’ont compris, leur but est donc d’une part de protéger et de rendre plus robustes les réseaux de neurones afin d’éviter des attaques malveillantes et d’autre part, de fiabiliser la performance de l’IA pour une meilleure expérience utilisateur. Il subsiste toujours des tensions liées au cadre juridique, concernant l’utilisation des données utilisateurs notamment. Les différents gouvernements doivent trouver l’équilibre entre des mesures pour conserver la confiance des utilisateurs, et d’autres visant à encourager l’innovation. En l’état actuel des choses, tout est en constante évolution et amélioration. Et si de nouveaux dysfonctionnements sont détectés, nous avons soit les solutions en main pour les contrer soit les outils pour les fabriquer.
SOURCES
1 https://docs.aws.amazon.com/fr_fr/rekognition/latest/dg/face-feature-differences.html
2 https://fr.statista.com/statistiques/1038965/confiance-intelligence-artificielle-citoyens-france/
4 https://arxiv.org/abs/1312.6199
5 https://www.actuia.com/contribution/hadjer-moussaoui/hacker-les-modeles-de-deep-learning-facilement/
7 https://www.lefigaro.fr/flash-eco/la-reconnaissance-faciale-peu-fiable-20191220
AUTEURS
Écrit par Arnault Ioualalen & Baptiste Aelbrecht
