Le « bunker imprenable » DeepMind percé avec un cure-dent
Google DeepMind présentait SynthID comme la solution ultime pour authentifier les images générées par IA. Un tatouage invisible, robuste, indétectable à l'œil nu et résistant aux modifications. La promesse tenait jusqu'à ce qu'un développeur, se faisant appeler Aloshdenny, décide d'y consacrer son chômage, un peu de weed et « bien trop de temps libre ». Résultat ? Un reverse-engineering complet, open-sourcé sur GitHub, qui réduit la prétention de Google à l'état de fable technologique.
La recette du crack : 200 images, du signal et zéro neurone
Pas besoin d'un supercalculateur ni d'un accès propriétaire. Selon sa documentation Medium, Aloshdenny a simplement collecté 200 images générées par Gemini, appliqué des techniques classiques de traitement du signal, et a isolé le schéma de tatouage. « Pas de réseaux de neurones. Pas d'accès propriétaire », martèle-t-il. La méthode permet non seulement de stripper le watermark des images tatouées, mais aussi d'en insérer frauduleusement dans n'importe quelle œuvre, créant de faux positifs. De quoi rendre tout système de détection basé là-dessus aussi fiable qu'un filtre à sable.
Google en mode déni : « C'est faux », mais le code compile
Face à la démonstration, la réponse de Google tient en une phrase : la claim « n'est pas vraie ». Une posture classique du géant : nier jusqu'à ce que la preuve devienne trop encombrante. Sauf qu'ici, la preuve n'est pas un vague blog post, mais un dépôt GitHub fonctionnel. La stratégie de sécurité par l'obscurité – « faites-nous confiance, c'est magique » – se heurte à la réalité de l'ingénierie inverse menée par un seul individu. Cela pose une question gênante : si un dev isolé peut faire ça, que pourraient faire des acteurs étatiques ou des organisations criminelles motivées ?
L'arnaque du watermarking : un cache-misère réglementaire
Derrière le battage médiatique, le watermarking est surtout un outil de relations publiques pour calmer les régulateurs et le public. Il donne l'illusion du contrôle dans un monde où le deepfake devient banal. L'épisode SynthID révèle la vérité : ces systèmes sont des barrières fragiles, conçues pour être franchies. Ils protègent davantage la réputation des entreprises qui les déploient que l'écosystème informationnel. L'argent et les efforts investis dans ces solutions boiteuses feraient mieux d'aller vers la transparence radicale sur l'origine des données et des modèles.
Qui a vraiment intérêt à ce que ça marche (ou pas) ?
Google et ses pairs ont besoin d'un récit de « IA responsable » pour continuer à déployer des modèles génératifs sans entraves. Un watermark crackable sert ce récit tout en étant intrinsèquement faible. C'est la porte de service parfaite : on peut prétendre avoir fait le nécessaire, tout en sachant que la protection est illusoire. Pendant ce temps, les artistes dont les œuvres sont pillées pour l'entraînement et le public bombardé de synthèses n'ont droit qu'à ce théâtre de sécurité. Le vrai travail – audits indépendants, cadre légal contraignant, reconnaissance de la propriété intellectuelle – est soigneusement évité.
Aloshdenny, en publiant son travail, a fait plus pour l'honnêteté du débat sur l'IA que toutes les communications corporate de DeepMind cette année. La prochaine fois que Google annoncera une « innovation cruciale pour la sécurité », souvenez-vous qu'il suffit peut-être d'un dev curieux, d'une connexion internet et d'un peu de temps à perdre pour en révéler la supercherie.