Un développeur, sous le pseudonyme d’Aloshdenny, a publié ce qu’il affirme être une méthode fonctionnelle pour supprimer les filigranes du système SynthID de Google DeepMind – la technologie de filigrane intégrée à Gemini et à d’autres modèles d’IA de Google. Google conteste cette affirmation. Mais la démonstration soulève une question cruciale : quelle confiance pouvons-nous accorder au filigrane comme moyen de défense contre le contenu généré par l’IA ?
Ce que fait SynthID (Et ce qu’il est censé empêcher)
SynthID intègre des filigranes imperceptibles dans les images générées par l’IA pendant le processus de génération lui-même. Le filigrane survit aux modifications légères – recadrages, compression, changements de couleur – et peut être détecté pour prouver qu’une image provient des modèles de Google. C’est l’une des rares approches techniquement solides au problème de la détection de « contenu généré par l’IA », car elle ne repose pas sur une analyse post-hoc de motifs suspects. Le filigrane est intégré dès le départ.
En théorie, cela rend plus difficile de :
- Présenter des images générées par l’IA comme des œuvres créées par des humains
- Diffuser des images IA en dissimulant leur origine
- Prétendre qu’une image IA est réelle alors qu’elle ne l’est pas
Sur le papier, c’est solide. En pratique, selon les travaux publiés par Aloshdenny, il a fallu 200 images Gemini, un traitement de signal basique et de la patience.
La méthode revendiquée : Moyennage et extraction de motifs
L’approche d’Aloshdenny, détaillée publiquement sur Medium et GitHub, a complètement contourné les réseaux neuronaux. Au lieu de cela, le développeur a moyenné plusieurs images générées par l’IA pour isoler le motif de filigrane répétitif, puis l’a extrait et analysé à l’aide du traitement du signal. Une fois le motif isolé, il affirme que la méthode peut soit supprimer le filigrane des images existantes, soit l’insérer dans des images qui ne proviennent jamais des modèles de Google.
La simplicité est le point préoccupant. Pas d’accès propriétaire. Pas d’apprentissage automatique. Le développeur a décrit le processus comme nécessitant « beaucoup trop de temps libre » – pas une capacité technique de pointe.
La réponse de Google a été directe : l’affirmation n’est pas exacte. Un porte-parole de Google a déclaré que la méthode démontrée n’extrait ni n’insère réellement les filigranes SynthID. Sans voir tous les détails techniques de la réfutation de Google, il est difficile d’évaluer s’il s’agit d’un problème de crédibilité ou d’un malentendu réel sur ce qui a été affirmé.
Pourquoi cela importe pour le filigrane en tant que défense
Que la méthode spécifique d’Aloshdenny fonctionne ou non, cet incident révèle une vulnérabilité réelle dans tout système de filigrane : si le motif du filigrane est déterministe et cohérent sur de nombreuses images, l’analyse statistique devient un outil d’extraction viable. C’est un problème connu dans la recherche sur le filigrane numérique – la plupart des travaux académiques sur le filigrane supposent que le motif du filigrane lui-même reste secret. Une fois qu’il est rétro-conçu, la sécurité s’effondre.
Pour SynthID spécifiquement, Google doit probablement équilibrer deux exigences concurrentes : le filigrane doit être suffisamment robuste pour survivre aux modifications courantes des images (recadrages, compression, bruit), mais cette même robustesse rend plus difficile de garder le motif secret si un attaquant dispose de suffisamment d’échantillons.
Ce que cela ne résout pas (Et ce qui doit encore être fait)
Même si la suppression ou l’insertion de filigranes était triviale, cela ne résoudrait pas le problème fondamental de la détection des images générées par l’IA sans filigrane. Un acteur malveillant pourrait simplement utiliser un modèle différent – Claude, Midjourney, DALL-E, toute variante open-source de Stable Diffusion. Le filigrane ne fonctionne que si la plupart des générations d’images IA incluent finalement un filigrane compatible. Cela nécessite une coordination industrielle, qui n’existe pas.
La vraie valeur du filigrane n’est pas une détection parfaite. C’est l’attribution – prouver d’où vient une image lorsqu’elle existe.
Faites-le aujourd’hui : Testez vos hypothèses sur les filigranes
Si vous construisez des systèmes qui s’appuient sur la détection de filigranes comme signal de confiance, commencez à enquêter pour savoir si l’implémentation de filigrane sur laquelle vous comptez a fait l’objet d’une analyse de sécurité publiée. Vérifiez si les chercheurs ont publié leur méthodologie ouvertement. Demandez directement au fournisseur du modèle : quel est le modèle de menace, et a-t-il été testé contre des attaques d’extraction ? Ne supposez pas que le filigrane est incassable – supposez qu’il s’agit d’une couche d’une stratégie de vérification plus large, car c’est le cas.
