Africa-Press – Mali. On pourrait résumer ainsi la notion d’ »empoisonnement » des algorithmes d’intelligence artificielle actuels: en injectant une très faible proportion de mauvaises données dans les corpus d’entrainement, une IA peut non seulement subir une très nette dégradation de ses performances mais carrément être détournée de son usage initial, comme livrer des données confidentielles, déjouer des systèmes de sécurité ou générer des contenus inutilisables. En juin 2025, l’institut de cybersécurité de l’université Carnegie Mellon (Etats-Unis), le CyLab a montré que la manipulation malveillante de seulement 0,1% des données d’entrainement permettait de pervertir le comportement d’un modèle d’IA même après qu’il a été ajusté après son entrainement.
Attaques facilitées
Et pourtant, ce n’est encore rien comparé à ce que révèle une étude publiée début octobre 2025, signée de chercheurs des universités d’Oxford (Royaume-Uni) et Zurich (Suisse), des organismes britanniques Alan Turing Institute et AI Security Institute et de la société Anthropic. « Même un faible pourcentage de données empoisonnées représente un volume conséquent de contenu, ce qui signifie en pratique que le risque de telles attaques se réduit avec la taille du jeu d’entrainement », explique l’article de recherche. Or, l’équipe établit qu’un attaquant peut non plus recourir à un pourcentage mais à un nombre absolu de données sabotées, indépendamment de la taille du modèle et de son jeu d’entrainement. Autant dire que l’empoisonnement s’en trouve grandement facilité.
Concrètement, les chercheurs ont testé ce que l’on appelle un déni de service, une notion empruntée au monde de la sécurité des sites internet et qui consiste, dans le contexte des LLM, à faire produire à ces derniers du charabia totalement inutilisable dès lors qu’ils sont exposés à un mot ou une phrase spécifique.
De 600 millions à 13 milliards de paramètres
Les chercheurs ont mené des tests sur quatre modèles de taille différentes, allant de 600 millions à 13 milliards de paramètres, chacun entrainé sur le corpus Chincilla-optimal. Mais en plus, chaque modèle a été exposé à trois quantités différentes de données malveillantes insérées dans leurs corpus d’entrainement, à savoir 100, 250 et 500 documents. Résultat: 250 documents suffisent à provoquer des dégâts, sur toutes les tailles de modèles testées. Ce qui représente, précise l’article, 0,00016% de la base d’entrainement (plus exactement, les tokens) pour les modèles à 16 milliards de paramètres, et 0,0035% pour ceux à 600 millions.
« Cela ne veut pas dire qu’il existe un nombre magique universel, tempère Seyedali Mirjalili, enseignant en IA à l’université privée de Torrens (Australie), par ailleurs auteur d’un article sur cette recherche pour The Conversation. La réussite dépend de la méthode d’entrainement, de la manière dont les données (bonnes et mauvaises, ndlr) sont mélangées et du nombre de fois où les données d’empoisonnement sont vues durant la phase d’apprentissage. »
Cette découverte implique néanmoins qu’empoisonner un modèle peut se faire à moindre coût, sans se soucier de maintenir un niveau de données corrompues en lien avec le volume total des données. Les interventions de l’attaquant sont donc minimales, ce qui garantit une certaine discrétion.
Comme en cybersécurité
Ce qui ne veut pas dire qu’il n’existe aucune parade. « Il n’y a pas de solution parfaite mais vous pouvez faire en sorte que l’empoisonnement soit plus difficile à faire et plus facile à détecter. Vous pouvez n’accepter que des données dont la source est validée, vérifier les fichiers avec des sommes de contrôle, limiter la quantité de données synthétiques…, continue Seyedali Mirjalili. Les attaquants s’adapteront et vous devrez traiter le problème comme une mesure d’hygiène, en permanence, pas une fois pour toutes. » L’enjeu étant moins d’empêcher les attaques techniquement que de rendre la tâche si compliquée à l’attaquant que le coût excède le bénéfice pour celui-ci. C’est, en somme, la même démarche qu’en matière de cybersécurité.
Pour plus d’informations et d’analyses sur la Mali, suivez Africa-Press
