Un développeur affirme avoir piraté le système de filigrane SynthID de Google DeepMind

Un développeur sous le pseudonyme Aloshdenny a publié un dépôt sur GitHub contenant du code qui, selon lui, permet de contourner SynthID — le système de filigrane caché de Google DeepMind pour marquer les images générées par l'IA. L'auteur affirme avoir appris à supprimer les filigranes des images ou, au contraire, à les insérer dans n'importe quelle image sans permission de Google. SynthID est un développement de Google DeepMind, intégré à Gemini et à d'autres outils de l'entreprise.

La technologie modifie imperceptiblement les pixels de l'image, laissant une « signature » numérique qui devrait résister à la compression, au recadrage et à d'autres manipulations. L'objectif est de permettre l'identification du contenu généré par l'IA même longtemps après sa publication. En novembre 2023, Google a présenté SynthID au public, et depuis 2024, les filigranes sont également appliqués au texte.

Aloshdenny a partagé les détails de sa méthode dans une publication sur Medium. Selon lui, l'ingénierie inverse ne nécessitait pas de réseaux de neurones ni d'accès fermé à l'infrastructure de Google. Il suffisait de générer 200 images via Gemini et d'appliquer des méthodes de traitement du signal.

« Si tu es au chômage et que tu fais la moyenne de suffisamment d'images IA noires, le motif se révélera de lui-même » — c'est à peu près comment il décrit son processus. Le développeur a publié le code sur GitHub sous une licence ouverte et a délibérément souligné que l'ensemble du processus est légal : aucun piratage, juste l'analyse d'images accessibles au public. Google DeepMind a réagi avec prudence : les représentants de l'entreprise ont déclaré que la méthode décrite n'était pas un véritable piratage de SynthID.

Selon Google, Aloshdenny n'a pas accédé à l'algorithme de marquage réel, mais a simplement appris à reproduire des modèles statistiques superficiels qui ne sont pas équivalents à la signature authentique du système. En d'autres termes, Google insiste : SynthID n'est pas compromis. Néanmoins, cet épisode expose une vulnérabilité fondamentale dans l'idée même de filigranes pour le contenu généré par l'IA.

Si un développeur en solo avec quelques centaines d'images peut au moins partiellement deviner le motif de marquage, qu'est-ce qui empêcherait des équipes bien financées de le faire d'un ordre de grandeur plus efficace ? Les experts avertissent depuis longtemps : tout système de filigrane construit sur la régularité statistique dans les images est théoriquement vulnérable à ces attaques. La discussion est instructive aussi parce que les filigranes du contenu généré par l'IA sont perçus comme l'un des outils clés de la future régulation.

La Loi sur l'IA européenne et plusieurs projets de loi américains exigent un marquage obligatoire du contenu généré par l'IA. Si de tels systèmes peuvent être contournés par un amateur avec un ordinateur portable et du temps libre, leur valeur pratique en tant qu'outil de régulation suscite de sérieux doutes. La question de savoir jusqu'à quel point quelqu'un a réussi à comprendre l'architecture de SynthID reste ouverte — Google nie un piratage, et il n'y a pas eu d'expertise publique indépendante du code d'Aloshdenny jusqu'à présent.

Mais le fait en soi que le développement d'un tel outil s'est avéré possible avec des ressources minimales est déjà un signal sérieux pour toute l'industrie.