Une IA sûre sans données fiables

Des chercheuses et chercheurs de l’EPFL ont mis au point un nouvel outil révolutionnaire pour renforcer la sécurité de l’IA.

Tanya Petersen 10.04.2025

Aujourd’hui, presque tout le monde a entendu parler de l’IA et des millions de personnes dans le monde l’utilisent déjà ou y sont exposées, de la rédaction de nos e-mails par ChatGPT à l’aide au diagnostic médical.

À la base, l’IA utilise des algorithmes, c’est-à-dire des ensembles d’instructions mathématiquement rigoureuses, qui indiquent à un ordinateur comment exécuter diverses fonctions avancées ou transformer des faits en informations utiles. Les grands modèles de langage (LLM), qui alimentent l’IA de plus en plus performante, sont des types particuliers d’algorithmes qui apprennent à partir d’ensembles de données massifs et pour la plupart centralisés.

Pourtant, la centralisation de ces immenses ensembles de données génère des problèmes de sécurité, de confidentialité et de propriété des données. En effet, l’expression «les données sont le nouveau pétrole» signifie qu’elles sont devenues une ressource essentielle, stimulant l’innovation et la croissance dans l’économie numérique d’aujourd’hui.

Pour contrer ces problèmes, une approche appelée apprentissage fédéré est en train de révolutionner l’IA. Contrairement à l’entraînement des modèles d’IA sur de vastes ensembles de données centralisés, l’apprentissage fédéré permet à ces modèles d’apprendre à travers un réseau de périphériques (ou de serveurs) décentralisés, en conservant les données brutes à leur source.

Des données peu fiables

«L’IA d’aujourd’hui entraînée par l’apprentissage fédéré rassemble des données du monde entier issues d’Internet, d’autres grandes bases de données, d’hôpitaux, d’appareils intelligents, etc. Ces systèmes sont très efficaces mais en même temps il y a un paradoxe. Ce qui les rend si efficaces les rend également très vulnérables à l’apprentissage à partir de “mauvaises” données», explique le professeur Rachid Guerraoui, responsable du Laboratoire d’informatique distribuée (DCL) de la Faculté informatique et communications.

Les données peuvent être incorrectes pour de nombreuses raisons. Peut-être qu’elles sont mal saisies dans une base de données du fait d’un manque d’attention ou d’une erreur humaine, qu’il y a des erreurs dans les données au départ, que des capteurs ou d’autres instruments sont cassés ou fonctionnent mal, que des données incorrectes ou dangereuses sont enregistrées de manière malveillante, etc. Parfois, les données sont bonnes, mais la machine qui les héberge est piratée ou fausse. Dans tous les cas, si ces données sont utilisées pour entraîner l’IA, cela rend les systèmes moins fiables et peu sûrs.

«Tout cela soulève une question essentielle», déclare Rachid Guerraoui. «Pouvons-nous construire des systèmes d’IA fiables sans faire confiance aux sources de données?» Après une décennie de travaux théoriques consacrés à relever ce défi, le professeur et son équipe disent que la réponse est oui! Un ouvrage récent résume leurs principales conclusions.

Des ensembles de données de confiance

En collaboration avec l’Institut national de recherche en sciences et technologies du numérique, ils mettent aujourd’hui leurs idées en pratique. Ils ont développé ByzFL, une bibliothèque utilisant le langage de programmation Python qui est conçue pour comparer et améliorer les modèles d’apprentissage fédérés contre les menaces adverses, en particulier les mauvaises données.

«Nous pensons que la majorité des données sont bonnes, mais comment savoir à quels ensembles de données nous ne pouvons pas faire confiance?», demande Rachid Guerraoui. «Notre bibliothèque ByzFL teste si un système est robuste contre des attaques inconnues à priori, puis rend ce système plus robuste. Plus précisément, nous fournissons aux utilisatrices et utilisateurs des logiciels pour émuler les mauvaises données à des fins de test ainsi que des filtres de sécurité pour garantir la robustesse. Les mauvaises données sont souvent distribuées de manière subtile, de sorte qu’elles ne sont pas immédiatement visibles.»

ByzFL n’isole pas et ne localise pas les bonnes données des mauvaises, mais utilise des schémas d’agrégation robustes (p. ex. médiane) pour ignorer les entrées extrêmes. Par exemple, si trois capteurs enregistrent une température de 6, 7 et 9 degrés et qu’un autre enregistre -20, cela ruine tout un calcul. Le logiciel ByzFL exclut les extrêmes de sorte que l’impact des mauvaises données est limité, tandis que l’information est agrégée.

Garantir le bon fonctionnement de l’IA nouvelle génération

L’intelligence artificielle devrait toucher tous les aspects de notre vie dans un avenir proche. Selon Rachid Guerraoui, aujourd’hui, la plupart des entreprises utilisent des formes très primitives d’IA, par exemple des plateformes de streaming recommandant des films ou des assistants d’IA aidant à écrire du texte. Si quelqu’un n’aime pas le film qui est recommandé ou si un e-mail n’est pas parfait, ce n’est pas grave.

À l’avenir, pour toute application essentielle, comme le diagnostic du cancer, la conduite d’un véhicule ou le contrôle d’un avion, une IA sûre est essentielle. «Le jour où nous mettrons vraiment l’IA générative dans les hôpitaux, les voitures ou les infrastructures de transport, je pense que nous verrons que la sécurité est problématique à cause des mauvaises données», indique Rachid Guerraoui. «Le plus grand défi actuel est de passer de ce que j’appelle un cirque animalier au monde réel avec quelque chose en quoi nous pouvons avoir confiance. Pour les applications critiques, nous sommes loin du point où nous pouvons cesser de nous soucier de la sécurité. L’objectif de ByzFL est d’aider à combler ce fossé.»

Un rôle pour la Suisse

Le professeur craint qu’il faille de graves accidents pour que le public et les décisionnaires politiques comprennent que l’IA créée à ce jour ne devrait pas être utilisée pour la médecine, les transports ou toute autre fin essentielle et que le développement d’une nouvelle génération d’IA sûre et robuste est essentiel.

«Je pense que la Suisse peut jouer un rôle ici parce que nous avons une tradition de sérieux. Nous construisons des choses qui fonctionnent, nous pouvons utiliser la garantie de la qualité suisse pour mettre en place un système de certification utilisant ce type de logiciel afin de montrer que l’IA est vraiment sûre sans faire confiance à aucun composant individuel», conclut-il.

Au sujet du ByzFL

ByzFL a été conçu et développé par John Stephen, Geovani Rizk, Marc Gonzalez Vidal, Rafael Pinot, Rachid Guerraoui (tous de l’EPFL) et François Taiani (de l’INRIA).

Mehdi El Mhamdi, Julian Steiner, Peva Blanchard, Nirupam Gupta, Rafael Pinot, Youssef Allouah, Abdellah El Mrini, John Stephan, Sadegh Farhadkhani, Geovani Rizk, Arsany Guiguis, Georgios Damaskinos, Sebastien Rouault, Richeek Patra, Mahsa Taziki, Hoang Le Nguyen et Alexandre Maurer sont tous des étudiantes et étudiants et des postdoctorantes et postdoctorants qui ont collaboré avec le professeur Guerraoui pour relever le défi des systèmes d’IA sûrs sans données fiables.