Un type unique de cybermenace, connu sous le nom d’attaque par canal latéral, peut avoir un impact sur la quasi-totalité des principaux assistants d’IA, Google Gemini étant l’exception notable. Grâce à cette méthode d’attaque, les chercheurs démontrent une brèche dans la sécurité, avec la capacité de déduire le sujet de 55% de toutes les réponses interceptées avec une grande précision. Ils ont obtenu une précision parfaite des mots dans 29 % des cas, ce qui met en évidence une vulnérabilité majeure dans les mécanismes de cryptage sur lesquels reposent ces services d’IA.
Le cryptage est généralement une barrière solide contre l’accès non autorisé, transformant des données lisibles en un format codé que seules les parties autorisées peuvent décoder. Les assistants d’IA, qui traitent souvent des demandes sensibles des utilisateurs, allant de la santé personnelle aux secrets d’affaires, s’appuient fortement sur le chiffrement pour préserver la vie privée de l’utilisateur et la confidentialité des données.
L’efficacité de ce cryptage est aujourd’hui remise en question en raison de la nouvelle capacité des adversaires à le contourner par le biais d’attaques par canal latéral.
Les attaques par canal latéral ne s’attaquent pas directement à l’algorithme de cryptage. Au lieu de cela, ils exploitent des moyens indirects pour extraire des informations, en s’appuyant sur les caractéristiques physiques ou comportementales du système. Dans le contexte des assistants d’intelligence artificielle, l’attaque exploite la séquence de longueur de jeton, un sous-produit de la façon dont ces assistants traitent et transmettent le langage.
Les jetons, qui représentent des mots ou des parties de mots, sont cryptés et transmis au fur et à mesure qu’ils sont générés. Malgré le cryptage, la séquence et la taille de ces jetons laissent échapper par inadvertance des informations sur le texte sous-jacent.
Le fait que les attaquants puissent atteindre des niveaux de précision aussi élevés pour déduire le contenu des conversations pose de sérieuses questions sur l’état actuel des pratiques de chiffrement dans les technologies d’assistance à l’IA.
Comment fonctionnent les attaques par canal latéral
Lorsqu’un assistant d’intelligence artificielle génère une réponse, il décompose l’entrée en jetons, qui sont essentiellement des éléments d’information codés représentant des parties de la structure du langage, comme des mots ou des phrases.
Les jetons sont transmis séquentiellement des serveurs d’IA à l’appareil de l’utilisateur au fur et à mesure qu’ils sont générés. Bien que la transmission de ces jetons soit cryptée, la séquence et la taille des jetons, qui restent cohérentes, qu’elles soient cryptées ou non, laissent filtrer suffisamment d’informations pour que les attaquants puissent les exploiter.
OpenAI, comme d’autres fournisseurs de services d’IA, s’appuie sur le chiffrement pour protéger le canal de communication entre l’IA et l’utilisateur. Ce cryptage est censé empêcher les parties non autorisées d’écouter la conversation.
Les attaques par canal latéral révèlent les failles de la méthode de cryptage. En se concentrant sur les séquences de longueur de jeton, les attaquants peuvent déduire le contenu des messages, contournant ainsi le chiffrement sans avoir à le casser directement.
Exemples de précision de l’inférence
Les endroits où les attaquants peuvent exploiter cette vulnérabilité sont inquiétants. Les attaquants peuvent simplement être connectés au même réseau Wi-Fi que la victime, par exemple dans un café, ou être présents sur le même réseau local (LAN). Plus inquiétant encore, l’attaquant peut se trouver n’importe où sur l’internet, ce qui souligne l’ampleur mondiale de la menace.
Un cas concret
Lorsqu’un utilisateur interagit avec ChatGPT pour demander des conseils juridiques sur le divorce, l’IA peut répondre : « Oui, il y a plusieurs considérations juridiques importantes que les couples doivent connaître lorsqu’ils envisagent de divorcer ».
Un attaquant, exploitant le canal latéral, pourrait déduire une réponse du type : « Oui, il existe plusieurs considérations juridiques potentielles dont une personne doit être consciente lorsqu’elle envisage de divorcer ».
Malgré de légères divergences, la réponse déduite capture l’essence de l’original, ce qui démontre une grande précision dans l’inférence.
De même, lorsque Microsoft Copilot fournit des informations sur les méthodes d’enseignement pour les étudiants souffrant de troubles de l’apprentissage, l’auteur de l’attaque peut déduire une réponse très proche, même si certains mots ont été changés. La capacité à maintenir le contexte et la signification du message original met en évidence la sophistication et le danger de cette attaque par canal latéral, car une fuite d’informations, même partielle, peut présenter des risques majeurs pour la vie privée.
Les jetons : Qu’est-ce que c’est exactement ?
Les jetons sont des éléments d’information codés qui représentent les plus petites unités de données significatives dans la conversation, généralement des mots ou des phrases. Les assistants d’IA génèrent ces jetons en temps réel lorsqu’ils traitent les requêtes des utilisateurs et génèrent des réponses.
La transmission séquentielle et immédiate de ces jetons, conçue pour améliorer l’expérience de l’utilisateur en lui fournissant des réponses sans délai, expose par inadvertance un canal latéral : la séquence de longueur des jetons.
Les attaquants exploitent cette vulnérabilité en analysant la taille et la séquence des jetons transmis. Même si le contenu est crypté, la longueur de chaque jeton reste perceptible, fournissant des indices sur les mots ou phrases possibles qu’il représente.
Pour décoder les informations cachées dans ces séquences de longueur de jeton, les attaquants utilisent des modèles de langage sophistiqués (LLM) spécialement formés pour cette tâche. Grâce à leur compréhension des modèles linguistiques et du contexte, ces LLM peuvent interpréter les séquences de jetons et reconstituer le texte original avec une précision surprenante.
Comprendre le fonctionnement des tokens dans le cadre du NLP
Dans le traitement du langage naturel (NLP), les tokens sont des éléments fondamentaux. Il s’agit des plus petites unités de texte porteuses de sens, essentielles à l’exécution et à l’apprentissage de grands modèles de langage (LLM).
Lors d’une interaction avec une IA, lorsque l’utilisateur saisit une requête ou une commande, l’assistant d’IA décompose le texte en ces jetons, qui subissent ensuite diverses étapes de traitement pour générer une réponse cohérente et adaptée au contexte.
Les LLM utilisent ces tokens pour prédire les tokens suivants, construisant ainsi des phrases et des paragraphes qui forment la réponse de l’assistant. Cette capacité prédictive est le résultat d’un entraînement intensif sur de vastes ensembles de données, où les modèles apprennent la probabilité d’occurrence d’un jeton en fonction des jetons qui le précèdent. Cela est essentiel pour que l’IA puisse maintenir un dialogue cohérent et adapté au contexte avec l’utilisateur.
Le processus de symbolisation influe sur tout, de la fluidité de la conversation à la compréhension par l’assistant de l’intention de l’utilisateur. Les jetons jouant un rôle central dans la fonctionnalité des assistants d’intelligence artificielle, l’exposition de séquences de longueur de jeton comme canal latéral pour des attaques potentielles soulève des inquiétudes majeures quant à la sécurité sous-jacente de ces systèmes.
Résultats de la recherche et solutions proposées
L’efficacité de cette attaque par inférence de jetons dépend largement des caractéristiques distinctes des communications des assistants d’intelligence artificielle. Les assistants d’intelligence artificielle ont tendance à avoir un style reconnaissable, réutilisant souvent certaines phrases ou structures dans leurs réponses. Cette prévisibilité, associée à la nature répétitive de certains contenus, offre un espace accessible pour affiner la précision des attaques par inférence.
Cette approche s’apparente à l’assemblage d’un puzzle dont on connaît la forme des pièces, mais dont l’emplacement exact nécessite de comprendre la situation dans son ensemble.
Les chercheurs ont mis au point une stratégie d’attaque par inférence de jetons qui exploite la puissance des LLM pour traduire les séquences de longueur de jetons observées en texte lisible.
En entraînant ces modèles à l’aide de grandes quantités de texte et d’exemples de réponses de l’assistant d’IA, les LLM apprennent à prédire ce que les jetons originaux étaient probablement, transformant ainsi les données brutes extraites du canal latéral en un texte cohérent et précis.
Pour contrer cette vulnérabilité, la recherche suggère une approche nuancée. L’amélioration des méthodes de cryptage pour masquer les informations relatives à la longueur des jetons ou la modification du mode de transmission des jetons pourraient atténuer les risques.
Une autre solution proposée consiste à randomiser la taille des jetons ou l’ordre de leur transmission, ce qui ajoute une couche d’imprévisibilité qui rendrait les attaques par inférence beaucoup plus difficiles.
Un impact de grande envergure et multiplateforme
Ces vulnérabilités touchent un large éventail de services d’assistants d’intelligence artificielle, notamment Microsoft Bing AI et OpenAI’s ChatGPT-4, parmi d’autres.
L’ampleur de cette vulnérabilité constitue un défi majeur pour l’industrie technologique, car ces services font partie intégrante de nombreuses applications, allant des assistants personnels sur les smartphones aux chatbots de service à la clientèle sur divers sites web.
Le risque de compromission d’informations sensibles s’étend à un large éventail de plateformes, affectant d’innombrables utilisateurs dans le monde entier qui comptent sur ces assistants d’IA pour un nombre toujours croissant de tâches et de requêtes.
Les implications de cette vulnérabilité touchent à la confidentialité des entreprises, aux droits de propriété intellectuelle et même au respect de la législation, en particulier dans les secteurs où la protection des données des utilisateurs est primordiale.
Les entreprises qui utilisent ces assistants d’IA doivent réévaluer leurs mesures de sécurité des données et envisager les risques potentiels associés à l’utilisation continue de ces services vulnérables.