Provenance des hypertrucages
Provenance contre les deepfakes : prouver que le média est réel au lieu de chasser les faux
Vous ne pouvez pas repérer de façon fiable un deepfake moderne, et la plupart des logiciels conçus pour le faire non plus. La réponse durable consiste à inverser la question : au lieu d’essayer de prouver qu’un média est faux, prouvez cryptographiquement que le média authentique est réel, en le signant à la source et en vérifiant la signature partout où il voyage. Cette approche s’appelle la provenance du contenu, et elle est maintenant appuyée par une norme ouverte (C2PA), des appareils photo sur le marché, les grands générateurs d’IA et le soutien des plateformes. Sa seule limite structurelle est la couverture : la provenance ne peut se porter garante que du contenu qui a été signé au moment de sa création.
Cette page est la plaque tournante de notre pilier deepfake. Elle explique pourquoi la détection seule perd du terrain, comment fonctionne la provenance signée, ce qu’elle ne peut véritablement pas faire, et où aller plus loin : la comparaison détection ou provenance et le flux de vérification des médias étape par étape.
Pourquoi « repérer le faux » est une stratégie perdante
Les outils de détection de deepfakes fonctionnent en repérant les artefacts statistiques que les générateurs laissent derrière eux : clignements non naturels, empreintes dans le domaine fréquentiel, incohérences d’éclairage, résidus de synthèse vocale. Le problème, c’est que chacun de ces artefacts est un bogue que les auteurs du générateur corrigent activement. Un détecteur entraîné sur les faux de l’an dernier est, par construction, une description des bogues de l’an dernier.
Le dossier empirique le confirme. Deepfake-Eval-2024, un banc d’essai construit à partir de vrais deepfakes ayant réellement circulé sur les réseaux sociaux en 2024 (45 heures de vidéo, 56,5 heures d’audio et 1 975 images dans 52 langues), a constaté que l’AUC des détecteurs à code ouvert de pointe chutait d’environ 50 % pour la vidéo, 48 % pour l’audio et 45 % pour les images par rapport à leurs scores sur des bancs d’essai universitaires plus anciens. Les modèles à code ouvert ajustés finement n’ont atteint que 61 % à 69 % d’exactitude sur ce matériel de terrain, et même le détecteur commercial en tête de l’étude a atteint 82 % : bien mieux que le hasard, mais loin d’un standard sur lequel vous vireriez de l’argent ou publieriez une une. Les chercheurs en sécurité qui résument ces travaux décrivent la détection comme structurellement en train de perdre du terrain face aux modèles génératifs.
Les humains ne sauvent pas la situation. Une vaste étude du PNAS sur la détection de deepfakes par les foules et les machines a trouvé que les spectateurs ordinaires étaient à peu près aussi exacts qu’un modèle de détection de pointe, et une méta-analyse de 2024 portant sur 56 études de détection humaine a trouvé une performance très variable, qui se dégrade sur les faux de haute qualité et s’accompagne d’une surconfiance persistante.
Les conséquences ne sont plus hypothétiques. Au début de 2024, un employé des finances de la firme d’ingénierie Arup a viré environ 25 millions de dollars américains (200 millions HK$) après un appel vidéo où chaque autre participant, y compris le chef des finances, était un deepfake. L’employé se méfiait initialement du courriel. C’est le fait de voir et d’entendre des visages familiers sur un appel en direct qui l’a vaincu. Aucun outil de détection plausible ne s’insère dans cette boucle.
Le renversement de la provenance : authentifier le réel, pas le faux
La provenance recadre la question de confiance. Plutôt que de demander « ce motif de pixels a-t-il l’air synthétique? », elle demande « ce fichier peut-il prouver d’où il vient? ». Le mécanisme est un registre signé cryptographiquement, créé au moment de la capture ou de la génération, qui voyage avec le média :
- Un appareil ou une application (un appareil photo, une suite d’édition, un générateur d’IA) consigne des assertions sur l’actif : quand il a été créé, par quel matériel ou logiciel, et quelles éditions ont été appliquées.
- Ces assertions sont hachées et liées au média lui-même, puis signées avec un certificat chaîné à un émetteur connu.
- Quiconque en aval peut valider la signature. Si les pixels ont été altérés après la signature, le hachage ne correspond plus et l’attestation signale l’altération. Si la signature est validée, vous savez exactement quel signataire s’est porté garant du fichier et ce qu’il a affirmé à son sujet.
C’est le modèle normalisé par la Coalition for Content Provenance and Authenticity (C2PA), dont la spécification définit le format de manifeste, les règles de signature et le comportement de validation, présenté aux utilisateurs sous le nom de Content Credentials. Nous couvrons les rouages de la norme dans C2PA expliqué.
La propriété critique : la vérification est déterministe, pas probabiliste. Un détecteur produit un score de confiance qui se dégrade à mesure que les générateurs s’améliorent. Une signature est validée par rapport à un certificat fiable ou elle ne l’est pas, et les progrès des générateurs n’affaiblissent pas les mathématiques. La briser exige de compromettre des clés ou de trouver des failles dans une cryptographie bien étudiée, pas simplement de rendre une texture de peau plus réaliste.
Le poids stratégique derrière ce modèle est notable. En janvier 2025, la NSA, la CISA et des partenaires internationaux ont publié une fiche d’information conjointe en cybersécurité, Content Credentials: Strengthening Multimedia Integrity in the Generative AI Era, recommandant la technologie de provenance comme défense centrale pour l’intégrité multimédia.
L’écosystème de signature est réel, et il grandit
La provenance ne compte que si la signature se produit à grande échelle, et la chaîne de la capture à la publication se remplit :
Capture. Leica a livré le premier appareil photo natif C2PA (le M11-P) et a étendu la prise en charge à sa gamme; Sony a déployé les Content Credentials dans ses boîtiers phares et professionnels via des micrologiciels; Canon et Nikon ont livré ou piloté la prise en charge avec des agences de presse. Voir cette liste à jour des appareils photo compatibles C2PA pour la couverture actuelle.
Génération. OpenAI ajoute des métadonnées C2PA aux images issues de ses outils de génération, et SynthID de Google DeepMind intègre un tatouage invisible dans le contenu des modèles génératifs de Google, vérifiable via le portail SynthID Detector et l’application Gemini. Que les générateurs d’IA signent leur propre production compte, parce que cela rend lisible le cas du chemin honnête : du contenu qui dit ce qu’il est.
Distribution. TikTok est devenue la première grande plateforme vidéo à lire les Content Credentials, les utilisant pour étiqueter automatiquement le contenu généré par IA, et s’est engagée à attacher des attestations aux téléchargements. N’importe qui peut inspecter les attestations d’un fichier avec l’outil Verify gratuit.
Pour une organisation, la conséquence pratique est qu’un pipeline axé provenance est maintenant constructible de bout en bout : signer à la capture ou à la création, préserver les attestations à travers la chaîne d’édition, valider à l’ingestion et afficher l’état d’authenticité aux utilisateurs finaux.
Ce que la provenance ne fait pas
Un argumentaire honnête sur la provenance doit concéder quatre limites, parce que les attaquants les trouveront même si votre diagramme d’architecture ne les montre pas.
Elle ne couvre que le contenu signé. La provenance prouve la présence d’authenticité, jamais son absence. Les billions de photos et vidéos capturées avant que la signature existe, et tout ce qui provient d’appareils non signataires, ne portent aucune attestation. Un fichier non signé n’est pas faux; il est simplement sans garant. Tout flux de travail bâti sur la provenance a besoin d’une politique pour les médias non signés, ce qui en pratique signifie les techniques de vérification manuelle de notre tutoriel de vérification de l’origine des médias.
Les métadonnées peuvent être supprimées. Les manifestes C2PA voyagent dans le fichier, et les pipelines de réencodage peuvent les jeter. OpenAI le dit sans détour : les métadonnées « ne sont pas une solution miracle » et « peuvent facilement être retirées, accidentellement ou intentionnellement ». La contre-mesure est les Content Credentials durables : jumeler le manifeste signé à un tatouage invisible et à une empreinte perceptuelle pour que des attestations supprimées puissent être réassociées à partir d’une base de données. C’est pourquoi la résilience du tatouage compte; nous analysons la surface d’attaque dans robustesse et attaques des tatouages.
Une signature valide n’est pas la vérité. La provenance authentifie la chaîne de possession, pas l’honnêteté de la scène. Une photographie mise en scène signée par un vrai appareil photo porte une attestation parfaitement valide. La provenance signée vous dit qui est responsable d’un actif et quel outillage y a touché; le jugement éditorial doit encore décider si le contenu est trompeur.
Les ancres de confiance peuvent faillir. Tout le dispositif repose sur la gouvernance des certificats : qui a le droit de signer, comment les clés sont protégées, comment les signataires compromis sont révoqués. Ce sont des problèmes résolus au sens où la PKI est une discipline mature, et non résolus au sens où des incidents de PKI se produisent encore. Les déploiements de provenance ont besoin d’un contrôle de révocation et d’une politique de liste de confiance, pas seulement des mathématiques de signature.
La détection a encore un rôle
Rien de tout cela ne rend la détection inutile. La détection est le seul outil qui dit quoi que ce soit sur la majorité non signée du contenu, et elle demeure utile comme signal de triage, couche de filtrage antifraude et aide forensique, à condition de traiter son résultat comme un indice probabiliste plutôt qu’un verdict. La bonne architecture est en couches : la provenance comme colonne vertébrale pour le contenu que vous contrôlez ou ingérez de partenaires signataires, la détection et la vérification manuelle comme filet pour tout le reste. Nous pesons les deux approches critère par critère dans détection ou provenance.
Adopter une posture axée provenance
Pour une organisation qui publie, ingère ou monétise des médias, passer à une posture axée provenance est un problème de séquencement plus qu’un problème de recherche :
- Signez ce que vous créez. Activez les Content Credentials dans vos appareils de capture et votre outillage créatif, et signez les actifs générés par IA au point de génération. Votre propre production est le cas facile à couverture de 100 %.
- Préservez les attestations à travers le pipeline. Auditez chaque étape de transcodage, CDN, CMS et redimensionnement pour la suppression de métadonnées; ajoutez la récupération par attestations durables (tatouage plus empreinte) là où le réencodage est inévitable.
- Validez à l’ingestion. Contrôlez automatiquement les signatures, les listes de confiance et le statut de révocation des médias entrants, et consignez le résultat aux côtés de l’actif.
- Définissez la politique pour les médias non signés. Décidez par écrit ce qui arrive au contenu sans attestations : quels éléments passent par le flux manuel, lesquels reçoivent un triage par détection, et lesquels sont étiquetés non vérifiés pour les utilisateurs finaux.
- Rendez l’état d’authenticité visible. Une attestation que personne ne voit ne change rien; exposez le signataire et l’historique d’édition dans votre produit comme le fait l’outil Verify.
Les étapes 1 et 3 sont surtout du travail d’intégration contre de l’outillage à code ouvert. Les étapes 2 et 4 sont là où les déploiements réussissent ou échouent vraiment, parce qu’elles décident si les attestations survivent au contact de votre infrastructure et ce qui se passe au niveau du trou de couverture.
Où aller ensuite dans ce pilier
- Détection de deepfakes ou provenance : une comparaison par critères avec un verdict par cas d’usage.
- Comment vérifier l’origine d’un média : le flux de travail numéroté pour les équipes de confiance et éditoriales.
- C2PA expliqué : manifestes, assertions, liaisons fortes et listes de confiance en profondeur.
Webisoft conçoit et construit des systèmes de provenance et de vérification, des pipelines de signature C2PA à la validation à l’ingestion des médias, pour les équipes qui doivent prouver ce qui est réel.