Filigranage
Peut-on retirer un filigrane IA ? Taxonomie des attaques et évaluation réaliste de la durabilité
Peut-on retirer un filigrane IA ? Oui : contre un adversaire motivé et techniquement compétent, tout schéma de filigranage publié se dégrade, et plusieurs classes d’attaques ont des démonstrations évaluées par les pairs, dont des attaques de régénération qui retirent de façon prouvée les filigranes d’image au niveau des pixels et la paraphrase récursive qui effondre la détection des filigranes de texte. Mais “retirable” n’est pas synonyme d‘“inutile”. Les filigranes survivent de façon fiable aux transformations que le contenu subit en distribution normale (compression, redimensionnement, réencodage), le retrait coûte toujours à l’attaquant du calcul, de la qualité, ou les deux, et les schémas intégrés au processus de génération résistent bien plus que les marques apposées après coup. La question d’ingénierie n’est pas de savoir si un filigrane est incassable (aucun ne l’est) mais combien d’effort il impose à votre adversaire réel.
Cette page donne la taxonomie des attaques, ce que la recherche publiée montre de façon vérifiable par modalité, et une évaluation de durabilité sur laquelle vous pouvez planifier. Pour comprendre d’abord comment fonctionnent les schémas, commencez par le carrefour du filigranage de contenu IA.
D’abord, séparez l’accidentel de l’adversarial
La robustesse est discutée comme une seule propriété, mais elle en est deux :
- Robustesse aux transformations bénignes. Miniaturisation, compression JPEG, réencodage de plateforme, conversion de format, recadrage léger, extraction d’un paragraphe. Personne n’attaque ; le pipeline de distribution est simplement avec perte. Les schémas en production sont conçus spécifiquement pour cela : Google indique que les filigranes d’image et de vidéo de SynthID sont conçus pour rester détectables à travers le recadrage, les filtres, les changements de fréquence d’images et la compression avec perte (DeepMind).
- Robustesse au retrait adversarial. Quelqu’un qui sait qu’un filigrane est présent et veut le faire disparaître. Ici, le bilan publié donne à réfléchir, et c’est le sujet du reste de cette page.
Confondre les deux produit à la fois de l’excès de confiance (“le fournisseur dit qu’il survit à la compression, donc il est robuste”) et du défaitisme (“un article l’a cassé, donc le filigranage est inutile”). Votre posture de conformité sous l’article 50 de la Loi sur l’IA dépend surtout de la première ; votre posture de confiance et sécurité dépend de la seconde.
La taxonomie des attaques
1. Attaques géométriques et de signal : recadrer, compresser, redimensionner, réencoder
La plus ancienne classe : détruire le filigrane en dégradant ou en transformant le signal porteur. Le recadrage retire la région portant le signal, la compression agressive le quantifie jusqu’à disparition, le redimensionnement et la rotation brisent l’alignement spatial entre l’encodeur et le détecteur, et le réencodage en chaîne accumule les pertes.
Contre les schémas modernes au moment de la génération, cette classe échoue surtout à une qualité acceptable pour l’attaquant. La Stable Signature de Meta (ICCV 2023) rapporte détecter l’origine d’une image générée recadrée à 10 pour cent de son contenu avec plus de 90 pour cent d’exactitude, à un taux de faux positifs inférieur à un sur un million. La lecture pratique : pour vaincre un filigrane média bien construit par la seule dégradation du signal, vous endommagez généralement le contenu au-delà du point où il vaut la peine d’être volé. Cette classe reste efficace contre les filigranes naïfs appliqués après coup et contre les schémas jamais testés sur le pipeline de déploiement.
2. Attaques de régénération : bruiter, puis reconstruire
L’attaque publiée la plus forte contre les filigranes d’image invisibles. Zhao et al., “Invisible Image Watermarks Are Provably Removable Using Generative AI” (NeurIPS 2024), ajoutent du bruit aléatoire à une image filigranée pour détruire le signal intégré, puis reconstruisent l’image avec un débruiteur ou un modèle de diffusion pré-entraîné. Le résultat ressemble à l’original ; le filigrane a disparu. De façon cruciale, l’article prouve une garantie pour les filigranes invisibles au niveau des pixels : après suffisamment de bruit et de reconstruction, aucun détecteur ne peut fonctionner, quel que soit le schéma. Ce n’est pas un résultat du chat et de la souris qu’un correctif règle ; c’est un plafond structurel pour toute la classe des filigranes qui vivent dans des perturbations de pixels imperceptibles.
Les mêmes auteurs pointent la sortie : des filigranes qui contraignent la sémantique de l’image plutôt que ses pixels. Des schémas comme le filigranage Tree-Ring, qui intègre un motif dans le vecteur de bruit initial du modèle de diffusion afin que le filigrane façonne la trajectoire de génération elle-même, survivent bien mieux à la régénération, au prix de ne fonctionner qu’à l’intérieur du processus de génération (rien après coup) et, dans le cas de Tree-Ring, de marquer avec un signal zéro bit “fait par ce modèle” plutôt qu’une charge utile récupérable.
L’analogue audio existe aussi : le retrait par diffusion des filigranes audio est une ligne de recherche active, ce qui est une raison pour laquelle la détection localisée (drapeaux au niveau de l’échantillon, comme dans les travaux audio Meta Seal de Meta) compte : un attaquant doit nettoyer partout, pas seulement en moyenne.
3. Attaques de paraphrase et de réécriture (texte)
Le texte n’a pas de pixels à régénérer, mais il a un équivalent : réécrire les mots tout en gardant le sens. Sadasivan et al., “Can AI-Generated Text be Reliably Detected?”, ont montré que la paraphrase récursive (passer le texte plusieurs fois dans un modèle de paraphrase) dégrade fortement la détection à travers les familles de détecteurs, y compris les filigranes basés sur l’échantillonnage, à un coût de qualité modeste. Comme l’attaque n’est elle-même que de l’inférence de LLM, la barrière de compétence est quasi nulle : tout utilisateur ayant accès à un second modèle peut la tenter.
Les concepteurs de filigranes le savaient. L’article Nature sur SynthID-Text indique clairement que les performances de détection sont affaiblies par les modifications du texte, et des travaux de suivi indépendants comme l’évaluation de robustesse de SynthID-Text sondent exactement combien de perturbation le schéma absorbe. Deux aggravateurs structurels valent la peine d’être nommés. La traduction est une paraphrase dans une autre langue et détruit généralement les filigranes au niveau des jetons. Et le texte à faible entropie (code, extraits factuels, texte passe-partout) porte peu de filigrane au départ, car il n’y a pas de liberté d’échantillonnage où cacher le signal ; les extraits courts aggravent le problème puisque les détecteurs statistiques accumulent des preuves par jeton.
La posture réaliste : les filigranes de texte sont des preuves contre le texte machine non modifié et légèrement retouché, et ils augmentent le coût du blanchiment à grande échelle (chaque passe de paraphrase coûte de l’inférence et risque une dérive de qualité). Ils ne sont pas durables contre un individu déterminé blanchissant un seul document.
4. Attaques adversariales et par oracle
Là où l’attaquant utilise l’optimisation plutôt que la transformation brute. Des variantes qui apparaissent dans la littérature :
- Attaques par oracle de détecteur. Si l’attaquant peut interroger un détecteur (un point de vérification public, par exemple), il peut itérer des perturbations jusqu’à ce que le détecteur bascule, en l’utilisant comme un oracle sans gradient. C’est un argument architectural pour restreindre les API de détection et limiter le débit, et c’est pourquoi les détecteurs entièrement publics affaiblissent les filigranes mêmes qu’ils vérifient.
- Usurpation (l’attaque inverse). Au lieu de retirer une marque, en forger une : faire lire du contenu humain comme filigrané, ou transplanter une marque sur du contenu que le générateur n’a jamais produit. Sadasivan et al. étudient aussi l’usurpation contre les filigranes de texte. L’usurpation transforme un filigrane, de preuve d’origine en outil pour incriminer, ce qui est pourquoi les schémas à clé et l’accès contrôlé au détecteur comptent.
- Extraction de modèle et inférence de clé. Avec suffisamment d’échantillons filigranés, un attaquant peut tenter d’apprendre le motif de filigranage (par exemple, en approximant la partition de liste verte d’un schéma de type Kirchenbauer) puis de l’éviter ou de l’usurper. Les schémas font tourner les clés et utilisent une pseudo-aléa dépendante du contexte précisément pour augmenter ce coût.
5. Le trou analogique et les attaques de capture
L’attaque qui n’a besoin d’aucune mathématique : capturer l’image, enregistrer l’écran de la vidéo, photographier l’affichage, retaper le texte. La recapture resynthétise le signal porteur à partir de zéro. Les filigranes média robustes sont explicitement conçus pour survivre à une partie de cela (SynthID et Stable Signature visent la survie sous les captures d’écran et la recompression à des degrés divers), mais les chaînes de capture répétées dégradent tout signal intégré, et retaper le texte détruit complètement un filigrane d’échantillonnage. La provenance basée sur les métadonnées (C2PA) meurt encore plus vite ici, ce qui est le cœur du compromis détection contre provenance.
Évaluation de durabilité : à quoi s’attendre vraiment
| Attaque | Compétence et coût pour l’attaquant | Marques pixel/audio après coup | Marques intégrées à la génération (décodeur ou échantillonnage) | Filigranes de texte par échantillonnage |
|---|---|---|---|---|
| Compression, redimensionnement, réencodage | Nul (se produit par défaut) | Survit souvent | Survit par conception | Non affecté (texte) ou survit modérément à l’extraction |
| Recadrage et extraction | Trivial | Faible aux recadrages sévères | Fort (Stable Signature : 90+% à 10% de recadrage) | S’affaiblit sur les extraits courts |
| Régénération (bruit + reconstruction) | Modéré : une passe de diffusion | Retirable de façon prouvée | Nettement plus résistant (schémas de niveau sémantique) | Non applicable |
| Paraphrase / traduction | Trivial avec n’importe quel LLM | Non applicable | Non applicable | Dégrade fortement la détection |
| Optimisation adversariale avec oracle de détecteur | Élevé | Efficace si l’oracle est exposé | Efficace si l’oracle est exposé | Efficace si l’oracle est exposé |
| Trou analogique / recapture | Trivial | Habituellement fatal | Partiellement survivable | Fatal (retaper) |
Quatre conclusions de planification ressortent du tableau et du bilan de recherche :
- Concevez d’abord pour le pipeline bénin, et testez dessus. L’écrasante majorité des “échecs” de filigrane en production ne sont pas des attaques ; ce sont des interactions non testées avec votre propre CDN, transcodeur ou générateur de miniatures. Cette robustesse est atteignable et c’est ce que la formulation de l’article 50(2), “solide et fiable dans la mesure où cela est techniquement possible”, selon le texte officiel, exige le plus plausiblement des fournisseurs.
- Préférez les schémas intégrés à la génération à ceux appliqués après coup. Le résultat sur la régénération trace la ligne clairement : les filigranes vivant dans un bruit de pixels imperceptible sont structurellement retirables ; les filigranes contraignant la trajectoire de génération ou cuits dans les poids du décodeur forcent l’attaquant vers une régénération complète, qui lui coûte la fidélité du contenu à l’original.
- Traitez les filigranes de texte comme de la friction et une preuve, pas une preuve absolue. Ils attrapent le texte machine non modifié à grande échelle et augmentent les coûts de blanchiment. Superposez-les avec des métadonnées de provenance et des signaux comportementaux plutôt que d’en faire un point de vérité unique.
- Protégez le détecteur. La gestion des clés et l’accès restreint à la détection font partie de la frontière de sécurité du filigrane. Un oracle public est un service d’attaque gratuit ; un accès contrôlé avec journalisation en est un défendable.
Le résumé honnête pour les décideurs : le retrait de filigrane est réel, publié, et dans certaines classes prouvable, pourtant le filigranage fait toujours exactement ce qu’un contrôle de conformité et d’intégrité devrait faire. Il rend l’origine machine vérifiable par défaut, survit à la vie ordinaire du contenu, force les adversaires vers des flux coûteux et destructeurs de qualité, et produit le marquage documenté et lisible par machine que la Loi européenne sur l’IA exige. La fragilité contre le sommet de la pyramide des menaces est un argument pour la superposition, pas pour sauter la couche.
Webisoft teste sous contrainte et construit des pipelines de filigranage contre exactement ces classes d’attaques, de sorte que ce que vous déployez est mesuré contre votre modèle de menace plutôt qu’un banc d’essai de fournisseur.