Aller au contenu

Provenance des hypertrucages

Comment vérifier l'origine d'une photo ou d'une vidéo : un flux pratique

Pour vérifier d’où vient réellement une photo ou une vidéo, exécutez une séquence fixe de vérifications ordonnées de la preuve la plus forte à la plus faible : préservez le fichier original, inspectez ses Content Credentials (provenance cryptographique), lisez ses métadonnées intégrées, testez la présence de filigranes de générateur IA, faites une recherche inversée pour trouver des apparitions antérieures, et corroborez l’heure et le lieu revendiqués contre des faits indépendants. Chaque vérification ajoute une preuve ou revient explicitement vide ; votre conclusion est la somme, pas un résultat isolé. Ce tutoriel transforme cette séquence en un flux reproductible pour les équipes de médias, d’édition et de confiance et sécurité.

Pourquoi un flux plutôt qu’un outil ? Parce qu’aucun outil n’est fiable seul. Les logiciels de détection se dégradent contre les nouveaux générateurs (sur les hypertrucages réels de 2024, les principaux détecteurs open source ont perdu près de la moitié de leur AUC de référence), et les humains jugent mal les faux de haute qualité avec assurance. Les signatures de provenance sont une preuve forte mais n’existent que sur les médias signés, comme nous l’argumentons dans le carrefour de la provenance des hypertrucages. Une liste de contrôle en couches est ce qui reste quand vous cessez d’espérer un bouton de verdict magique.

Avant de commencer : ce que signifie “origine”

Vérifier l’origine, c’est répondre à quatre sous-questions, et il vaut la peine de les garder distinctes sur votre feuille de travail :

  • Source : quel appareil, logiciel ou compte a d’abord produit ce fichier ?
  • Temps : quand a-t-il été créé, et quand est-il apparu pour la première fois en ligne ?
  • Lieu : où a-t-il été capturé, s’il prétend dépeindre une scène réelle ?
  • Intégrité : a-t-il été retouché, réencodé ou monté depuis sa création ?

Un média peut réussir certaines et échouer à d’autres : une photo authentique partagée avec une fausse date est un faux de contexte, pas un faux de pixels, et c’est de loin le type de média trompeur le plus courant.

Le flux

Étape 1 : Préservez le fichier original et journalisez la chaîne de possession

Enregistrez le fichier exactement tel que vous l’avez reçu, avant de l’ouvrir dans un éditeur ou de le téléverser où que ce soit. Notez : l’URL ou le message d’où il est arrivé, qui l’a envoyé, l’horodatage de réception, et une empreinte cryptographique du fichier (sur tout système, sha256sum file.jpg, ou certutil -hashfile file.jpg SHA256 sous Windows). Travaillez sur des copies à partir d’ici.

Cela compte pour deux raisons. D’abord, plusieurs vérifications ultérieures lisent des données qu’une manipulation négligente détruit : les captures d’écran, la recompression par messagerie et les exports “enregistrer pour le web” retirent tous les métadonnées et les Content Credentials. Si vous n’avez qu’une capture d’écran, notez-le ; cela plafonne jusqu’où la vérification peut aller. Ensuite, si l’élément devient une preuve ou une correction, vous devrez montrer ce que vous avez reçu et quand.

Étape 2 : Cherchez des Content Credentials (provenance signée)

Ouvrez le fichier dans l’outil gratuit Content Credentials Verify. Si le fichier porte un manifeste C2PA, Verify montre qui l’a signé, quand, avec quel appareil ou application, quelles retouches ont été appliquées, et si une génération par IA était impliquée ; il signale aussi une signature qui ne correspond plus aux pixels. Les équipes d’ingénierie peuvent exécuter la même validation en masse avec le c2patool et le SDK CAI open source.

Lisez le résultat avec précision :

  • Justificatif valide d’un émetteur de confiance : preuve forte de source, de temps et d’intégrité. Notez le signataire ; le justificatif authentifie la possession, pas l’honnêteté de la scène.
  • Justificatif présent mais validation échouée : traitez comme altéré. C’est un signal d’alarme significatif, pas une subtilité technique.
  • Aucun justificatif : aucune conclusion dans un sens ou l’autre. La plupart des médias authentiques aujourd’hui restent non signés, et les plateformes retirent régulièrement les métadonnées dans leurs pipelines de téléversement, ce qui est exactement l’écart que les Content Credentials durables visent à combler. Passez à l’étape 3.

Pour la lecture plus approfondie des manifestes, des assertions et des chaînes d’ingrédients, voyez notre guide compagnon sur comment vérifier la provenance du contenu.

Étape 3 : Inspectez les métadonnées intégrées

Passez le fichier dans un lecteur de métadonnées comme ExifTool. Pour les photos, regardez la marque et le modèle de l’appareil, l’horodatage et le fuseau de capture, les coordonnées GPS, les données d’objectif et d’exposition, et les balises logicielles que les programmes de retouche laissent derrière eux. Pour la vidéo, les métadonnées de conteneur (heure de création, encodeur) jouent le même rôle.

Interprétez avec soin, dans les deux sens :

  • Les métadonnées sont non signées et trivialement modifiables, donc elles sont une preuve corroborante, jamais une preuve absolue. N’importe qui peut réécrire une date EXIF.
  • L’absence est normale. Les plateformes sociales retirent les métadonnées au téléversement, donc un fichier nu est attendu pour tout ce qui a transité par Instagram, X ou WhatsApp.
  • Les incohérences sont la charge utile. Une “photo de téléphone” sans champs d’appareil, une date de capture postérieure à la première apparition en ligne du fichier, un point GPS dans le mauvais pays, ou un outil IA nommé dans la balise logicielle sont autant de pistes à tirer.

Étape 4 : Testez la présence de filigranes de générateur IA

Plusieurs grands générateurs marquent désormais leur sortie de façon invisible, et ces marques survivent à une partie du retraitement qui tue les métadonnées. Vérifiez ceux qui ont des voies de vérification publiques :

Un résultat positif est une preuve quasi concluante d’origine IA de ce fournisseur. Un résultat négatif signifie peu : le contenu peut provenir d’un modèle open source ou d’un générateur qui ne filigrane pas. Ne laissez pas une analyse de filigrane propre rehausser votre confiance ; les limites du filigranage sous traitement hostile sont un sujet à part entière (voir robustesse et attaques des filigranes).

Étape 5 : Faites une recherche inversée de l’image (ou des images clés de la vidéo)

Établissez maintenant l’historique public du fichier. Téléversez l’image dans au moins deux de : Google Lens, TinEye (triez les résultats du plus ancien au plus récent) et Bing Visual Search. Pour la vidéo, extrayez des images clés et faites-en la recherche inversée ; le module de vérification InVID-WeVerify automatise l’extraction d’images clés et les recherches en un clic à travers les moteurs, et reste la trousse gratuite standard pour cela dans la pratique des salles de presse.

Vous cherchez :

  • Une apparition antérieure. Si l’image “de dernière minute” était en ligne en 2021, rattachée à un autre événement, vous avez terminé : faux de contexte.
  • Un ancêtre de meilleure qualité ou non recadré. Les recadrages et les copies miroirs dissimulent souvent des légendes, des filigranes ou des passants qui identifient la vraie origine.
  • L’auteur original. La trouvaille la plus ancienne pointe souvent vers un compte ou un média que vous pouvez évaluer ou contacter à l’étape 7.

Étape 6 : Corroborez l’heure et le lieu revendiqués

Si le média prétend montrer un événement réel, testez ses preuves internes contre des faits indépendants :

  • Géographie : faites correspondre bâtiments, enseignes, terrain et marquages routiers avec l’imagerie satellite et au niveau de la rue dans Google Maps ou équivalent.
  • Météo : vérifiez la météo historique pour la date et le lieu revendiqués contre ce que montre la séquence.
  • Lumière : la direction et la longueur des ombres contraignent l’heure du jour pour un lieu connu.
  • Langue et détails : enseignes, plaques d’immatriculation, uniformes et devantures devraient correspondre au cadre revendiqué.

Cette étape attrape à la fois les faux de contexte et de nombreuses scènes synthétiques, car les générateurs ratent encore les détails du monde réel que l’imagerie satellite épingle. C’est un travail humain et lent ; c’est inévitable, et c’est là que les vérificateurs formés surpassent encore les pipelines automatisés.

Étape 7 : Remontez à la source

L’outil de vérification le plus sous-utilisé est de demander. Contactez le plus ancien auteur identifiable et demandez le fichier original (ce qui restaure les étapes 2 et 3 si des intermédiaires ont retiré des données), l’appareil utilisé, et des prises corroborantes des moments avant ou après. Un témoin authentique a généralement des photos voisines, un angle inhabituel, une rafale ; un fabricateur a généralement exactement un fichier parfait. Pour les éléments à fort enjeu, confirmez par un second canal indépendant. La fraude Arup, où un appel vidéo hypertruqué en direct a autorisé 25 millions de dollars US de transferts, est le rappel permanent que la confirmation hors bande ne doit pas dépendre du même médium que celui que vous essayez de vérifier.

Étape 8 : Consignez le verdict avec son niveau de confiance

Notez, par élément : quelles vérifications ont été exécutées, ce que chacune a montré, et une conclusion graduée. Une simple échelle fonctionne :

ConfiancePreuve typique
Origine vérifiéeContent Credential valide d’un signataire de confiance, métadonnées cohérentes, aucune apparition antérieure contradictoire
ProbableMétadonnées cohérentes plus heure et lieu corroborés plus contact source crédible, mais aucun justificatif signé
Non résoluLes vérifications sont revenues vides ou mitigées ; traitez comme non vérifié et étiquetez-le ainsi
Faux probableApparition antérieure contradictoire, validation de justificatif échouée, détection de filigrane de générateur, ou échecs de corroboration

Deux règles gardent l’échelle honnête. Ne promouvez jamais un élément simplement parce que rien de négatif n’est ressorti : l’absence de signaux d’alarme n’est pas une vérification, surtout quand les faux qui comptent sont ceux que les humains et les détecteurs manquent. Et n’enterrez jamais un verdict non résolu ; “nous n’avons pas pu vérifier ceci” est une information publiable.

Passer à l’échelle

Exécuté manuellement, ce flux coûte de 15 minutes à plusieurs heures par élément. Les équipes qui font face au volume devraient automatiser les couches déterministes : valider les justificatifs C2PA et extraire les métadonnées à l’ingestion, exécuter les vérifications de filigrane par lots, mettre automatiquement en file les résultats de recherche inversée, et réserver les humains aux étapes 6 à 8. Cette répartition, machines pour les signatures et les recherches, personnes pour le jugement, est la même architecture en couches que nous recommandons dans détection contre provenance, appliquée au niveau du poste de travail.

Webisoft construit exactement ce genre d’infrastructure : validation de provenance, pipelines de vérification à l’ingestion des médias, et l’outillage qui permet à une équipe de confiance d’exécuter ce flux à grande échelle.

deepfakeprovenanceverificationtutorialcontent-credentialsosint