{"id":23471,"date":"2025-12-17T15:18:59","date_gmt":"2025-12-17T13:18:59","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23471"},"modified":"2025-12-17T15:18:59","modified_gmt":"2025-12-17T13:18:59","slug":"chatbot-eavesdropping-whisper-leak-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/chatbot-eavesdropping-whisper-leak-protection\/23471\/","title":{"rendered":"Comment espionner un r\u00e9seau neuronal"},"content":{"rendered":"

Les gens confient leurs questions les plus importantes, voire les plus intimes, \u00e0 des r\u00e9seaux neuronaux\u00a0: v\u00e9rification de diagnostics m\u00e9dicaux, conseils amoureux ou recours \u00e0 l\u2019IA plut\u00f4t qu\u2019\u00e0 un psychoth\u00e9rapeute<\/a>. On conna\u00eet d\u00e9j\u00e0 des cas de planification de suicides<\/a>, d\u2019attaques r\u00e9elles<\/a> et d\u2019autres actes dangereux facilit\u00e9s par des mod\u00e8les LLM.\u00a0 Les discussions priv\u00e9es entre les humains et l\u2019IA attirent donc de plus en plus l\u2019attention des gouvernements, des entreprises et des particuliers curieux.<\/p>\n

Il ne manquera donc pas de personnes pr\u00eates \u00e0 mettre en pratique l\u2019attaque Whisper Leak. Apr\u00e8s tout, ce syst\u00e8me permet de d\u00e9terminer le th\u00e8me g\u00e9n\u00e9ral d\u2019un \u00e9change avec un r\u00e9seau neuronal sans toucher au trafic lui-m\u00eame \u2013 uniquement en \u00e9tudiant les sch\u00e9mas temporels d\u2019envoi et de r\u00e9ception des paquets chiffr\u00e9s transmis au serveur d\u2019IA. Il reste n\u00e9anmoins possible de garder vos chats priv\u00e9s\u00a0; explications plus bas\u2026<\/p>\n

Fonctionnement de l\u2019attaque Whisper Leak<\/h2>\n

Tous les mod\u00e8les de langage g\u00e9n\u00e8rent leurs r\u00e9sultats de fa\u00e7on progressive. Pour l\u2019utilisateur, c\u2019est comme si une personne \u00e0 l\u2019autre bout tapait le message mot par mot. Cependant, en r\u00e9alit\u00e9, les mod\u00e8les de langage ne fonctionnent pas \u00e0 partir de caract\u00e8res ni de mots individuels, mais avec des jetons, une sorte d\u2019unit\u00e9 s\u00e9mantique pour les mod\u00e8les LLM, et la r\u00e9ponse de l\u2019IA s\u2019affiche \u00e0 l\u2019\u00e9cran \u00e0 mesure que ces jetons sont cr\u00e9\u00e9s. Ce mode de sortie est connu sous le nom de \u00ab\u00a0streaming\u00a0\u00bb, et il s\u2019av\u00e8re que l\u2019on peut d\u00e9duire le sujet de la conversation en mesurant les caract\u00e9ristiques du flux. Nous avons d\u00e9j\u00e0 \u00e9voqu\u00e9 une \u00e9tude<\/a> qui a permis de reconstituer assez fid\u00e8lement le texte d\u2019une conversation avec un bot en analysant la longueur de chaque token envoy\u00e9 par celui-ci.<\/p>\n

Les chercheurs de Microsoft ont pouss\u00e9 cette analyse plus loin en \u00e9tudiant les caract\u00e9ristiques de r\u00e9ponse<\/a> de 30 mod\u00e8les d\u2019IA diff\u00e9rents \u00e0 11 800 requ\u00eates. Une centaine de questions ont \u00e9t\u00e9 utilis\u00e9es, qui \u00e9taient des variantes de la question \u00ab\u00a0Le blanchiment d\u2019argent est-il l\u00e9gal ?\u00a0\u00bb, tandis que les autres questions \u00e9taient al\u00e9atoires et portaient sur des sujets totalement diff\u00e9rents.<\/p>\n

En comparant le d\u00e9lai de r\u00e9ponse du serveur, la taille des paquets et le nombre total de paquets, les chercheurs ont pu distinguer tr\u00e8s pr\u00e9cis\u00e9ment les requ\u00eates \u00ab\u00a0dangereuses\u00a0\u00bb des requ\u00eates \u00ab\u00a0normales\u00a0\u00bb. Ils ont \u00e9galement utilis\u00e9 des r\u00e9seaux neuronaux pour l\u2019analyse, mais pas des mod\u00e8les LLM. Selon le mod\u00e8le \u00e9tudi\u00e9, la pr\u00e9cision de l\u2019identification des sujets \u00ab\u00a0dangereux\u00a0\u00bb varie de 71 % \u00e0 100 %, avec une pr\u00e9cision sup\u00e9rieure \u00e0 97 % pour 19 des 30 mod\u00e8les.<\/p>\n

Les chercheurs ont ensuite men\u00e9 une exp\u00e9rience plus complexe et plus r\u00e9aliste. Ils ont test\u00e9 un ensemble de donn\u00e9es de 10\u00a0000\u00a0conversations al\u00e9atoires, dont une seule portait sur le sujet choisi.<\/p>\n

Les r\u00e9sultats ont \u00e9t\u00e9 plus vari\u00e9s, mais l\u2019attaque simul\u00e9e s\u2019est tout de m\u00eame av\u00e9r\u00e9e plut\u00f4t concluante. Pour des mod\u00e8les tels que Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2 et -3, ainsi que Mistral-small et Mistral-large, les chercheurs ont pu d\u00e9tecter le signal parmi le bruit dans 50\u00a0% de leurs exp\u00e9riences, sans aucun faux positif.<\/p>\n

Pour Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 et Deepseek-v3-chat, le taux de r\u00e9ussite de la d\u00e9tection a chut\u00e9 \u00e0 20 %, mais toujours sans faux positifs. En revanche, pour Gemini 2.5 pro, Anthropic-Claude-3-haiku et gpt-4o-mini, la d\u00e9tection des conversations \u00ab\u00a0dangereuses\u00a0\u00bb sur les serveurs de Microsoft n\u2019a \u00e9t\u00e9 possible que dans 5 % des cas. Le taux de r\u00e9ussite pour les autres mod\u00e8les test\u00e9s \u00e9tait encore plus bas.<\/p>\n

Il est important de noter que les r\u00e9sultats d\u00e9pendent non seulement du mod\u00e8le d\u2019IA utilis\u00e9, mais \u00e9galement de la configuration du serveur sur lequel il est ex\u00e9cut\u00e9. C\u2019est pourquoi un m\u00eame mod\u00e8le OpenAI peut donner des r\u00e9sultats diff\u00e9rents selon qu\u2019il est utilis\u00e9 dans l\u2019infrastructure de Microsoft ou sur les serveurs d\u2019OpenAI. Il en va de m\u00eame pour tous les mod\u00e8les open source.<\/p>\n

Implications pratiques\u00a0: que faut-il pour qu\u2019une attaque Whisper Leak fonctionne\u00a0?<\/h2>\n

Si un pirate disposant de ressources importantes a acc\u00e8s au trafic r\u00e9seau de ses victimes (par exemple, en contr\u00f4lant un routeur chez un FAI ou au sein d\u2019une organisation), il peut d\u00e9tecter un pourcentage important de conversations sur des sujets qui l\u2019int\u00e9ressent simplement en mesurant le trafic envoy\u00e9 aux serveurs de l\u2019assistant IA, tout en obtenant un taux d\u2019erreur tr\u00e8s faible. Toutefois, ce syst\u00e8me ne signifie pas pour autant la d\u00e9tection automatique de tout sujet de conversation possible. Le pirate informatique doit d\u2019abord entra\u00eener ses syst\u00e8mes de d\u00e9tection sur des th\u00e9matiques sp\u00e9cifiques, et le mod\u00e8le n\u2019identifiera que celles-ci.<\/p>\n

Cette menace ne peut \u00eatre consid\u00e9r\u00e9e comme purement th\u00e9orique. Les organismes charg\u00e9s de l\u2019application des lois pourraient, par exemple, surveiller les requ\u00eates li\u00e9es \u00e0 la fabrication d\u2019armes ou de drogues, tandis que les entreprises pourraient suivre les requ\u00eates de recherche d\u2019emploi de leurs employ\u00e9s. Cependant, il n\u2019est pas concevable d\u2019utiliser cette technologie pour mener une surveillance de masse sur des centaines ou des milliers de th\u00e9matiques, car cette op\u00e9ration demanderait beaucoup trop de ressources.<\/p>\n

En r\u00e9ponse \u00e0 ces recherches, certains services d\u2019IA populaires ont modifi\u00e9 les algorithmes de leurs serveurs afin de compliquer l\u2019ex\u00e9cution de cette attaque.<\/p>\n

Comment se prot\u00e9ger de l\u2019attaque Whisper Leak<\/h2>\n

La principale responsabilit\u00e9 en mati\u00e8re de d\u00e9fense contre cette attaque incombe aux fournisseurs de mod\u00e8les d\u2019IA. Le texte g\u00e9n\u00e9r\u00e9 doit \u00eatre fourni de mani\u00e8re \u00e0 ce que le sujet ne puisse pas \u00eatre discern\u00e9 \u00e0 partir des mod\u00e8les de g\u00e9n\u00e9ration de jetons. \u00c0 la suite des recherches de Microsoft, des entreprises comme OpenAI, Mistral, Microsoft Azure et xAI ont indiqu\u00e9 qu\u2019elles se penchaient sur cette menace. D\u00e9sormais, les r\u00e9seaux neuronaux ajoutent une petite quantit\u00e9 de donn\u00e9es invisibles aux paquets envoy\u00e9s, ce qui perturbe les algorithmes Whisper Leak. Il est \u00e0 noter que les mod\u00e8les d\u2019Anthropic \u00e9taient intrins\u00e8quement moins sensibles \u00e0 cette attaque d\u00e8s le d\u00e9part.<\/p>\n

Si vous utilisez un mod\u00e8le et des serveurs pour lesquels l\u2019attaque Whisper Leak continue de poser probl\u00e8me, vous pouvez soit passer \u00e0 un fournisseur moins vuln\u00e9rable, soit prendre des pr\u00e9cautions suppl\u00e9mentaires. Ces mesures sont \u00e9galement pertinentes pour quiconque souhaiterait se pr\u00e9munir contre de futures attaques de ce type\u00a0:<\/p>\n