Les modèles génératifs d’images ont transformé notre manière de créer et de partager des images, et les fournisseurs ont réagi en intégrant des filigranes et des signaux de provenance pour aider à tracer l’origine et faire respecter les droits. Ces filigranes vont de logos visibles et de métadonnées à des signatures invisibles de bruit latent et des marques sémantiques intégrées dans les sorties des modèles.
Mais ces dernières années, un flux constant de recherches, à travers l’ICCV, l’ICML, NeurIPS et des prépublications arXiv, a montré que de nombreuses classes de filigranes sont vulnérables aux attaques adaptatives. Cet article passe en revue les preuves, l’évolution des outils d’attaque, et ce à quoi les défenseurs peuvent raisonnablement s’attendre.
Pourquoi les filigranes ont été proposés et comment ils fonctionnent
Les filigranes et les balises de provenance ont été proposés pour fournir la provenance, l’attribution et la protection du droit d’auteur pour les contenus générés par l’IA. Des systèmes industriels tels que Google SynthID, OpenAI/DALL·E 3 C2PA Content Credentials et les préversions de Microsoft illustrent la volonté concrète de rendre visible l’information d’origine auprès des utilisateurs finaux et des plateformes.
Les approches techniques varient : les marques visibles et les métadonnées sont faciles à comprendre mais faciles à retirer ; les filigranes invisibles au niveau des pixels ou du bruit latent tentent de dissimuler des signaux dans le processus de génération ; les filigranes sémantiques encodent des indices de plus haut niveau liés au contenu ou à la classe. Chaque classe accepte différents modèles d’attaquants et compromis entre robustesse, visibilité et utilité.
Les chercheurs et les fournisseurs ont reconnu que les modèles génératifs sont de puissants oracles, débruiteurs, échantillonneurs de diffusion et grands éditeurs d’images, que les attaquants peuvent utiliser pour perturber ou régénérer des images. Cette capacité modifie fondamentalement le modèle de menace pour tout schéma de filigrane déployé à grande échelle.
Paysage des attaques adaptatives : par image, ciblant le modèle, et boîte noire
La littérature récente classe les attaques en trois groupes pratiques : attaques par image (perturbations adversariales, débruitage+reconstruction), attaques ciblant le modèle (ajustement fin ou purification d’un décodeur open-source), et attaques de contrefaçon/suppression en boîte noire qui ne nécessitent qu’une seule image de référence. Cette taxonomie aide à expliquer pourquoi différentes classes de filigranes échouent de différentes manières.
Des articles de premier plan documentent le fonctionnement de ces attaques. Le résultat ICML 2024 Watermarks in the Sand conclut que « le filigranage fort est impossible ». Sous des hypothèses relativement naturelles, l’article propose des attaques efficaces qui retirent les filigranes avec une perte de qualité minimale (ICML 2024).
Les attaques ciblant le modèle peuvent être particulièrement puissantes sur les décodeurs de diffusion open-source : l’ajustement fin ou la purification ciblée peuvent effacer les signaux latents sur de nombreuses sorties, tout en préservant la qualité perceptuelle. Les attaques par image, en revanche, concentrent les ressources sur un petit ensemble d’images et peuvent utiliser la régénération/le débruitage pour casser de manière fiable les filigranes invisibles (travaux de régénération arXiv 2023).
Attaques boîte noire et sur image unique : pratiques et surprenantes
L’une des tendances empiriques les plus préoccupantes est la montée des méthodes boîte noire qui nécessitent très peu d’informations. Un article arXiv de décembre 2024 et un autre d’avril 2025 montrent que les attaquants peuvent contrefaire ou retirer des filigranes sémantiques et de bruit latent de diffusion en utilisant des modèles non liés ou une seule image filigranée.
Comme le dit un article : « l’attaque adversariale boîte noire ... n’utilise qu’un seul exemple filigrané ». Le travail d’avril 2025 Forging and Removing Latent-Noise Diffusion Watermarks Using a Single Image démontre une recette pratique, en boîte noire, pour à la fois forger et effacer des filigranes de bruit latent sur plusieurs schémas sur SDv1.4 et SDv2.0 (arXiv 2025).
Ces attaques à partir d’un seul exemple sont importantes car elles sont scalables : un attaquant n’a pas besoin d’accéder au modèle original, à la clé de filigrane ou à de grands corpus. Une seule image filigranée peut permettre une large contrefaçon ou suppression sur de nombreuses sorties, abaissant considérablement la barrière à l’abus.
Défenses prouvables, leurs gains et leurs limites
Les défenseurs ont réagi. NeurIPS 2024 a introduit RAW (A Robust and Agile Plug-and-Play Watermark Framework), revendiquant des garanties prouvables contre les attaques de suppression et rapportant des améliorations d’AUROC de 0,48 à 0,82 dans des scénarios de suppression adversariale (NeurIPS 2024). Ces résultats montrent des progrès mesurables dans l’évaluation de la robustesse face aux attaques adversariales.
D’autres défenses visent à lier les filigranes de manière cryptographique, à ajouter des embeddings sensibles à la sémantique, ou à utiliser des graines traçables. Des propositions de type SEAL et des concepts NoisePrints tentent de lier la vérification du filigrane à la sémantique du contenu ou à des graines cryptographiques plutôt qu’à des motifs de pixels fragiles, augmentant l’effort nécessaire pour réussir une contrefaçon ou une suppression.
Cependant, la théorie et les travaux empiriques tempèrent l’optimisme. Le résultat d’impossibilité de l’ICML et une gamme d’attaques de régénération et de débruitage montrent clairement que certaines garanties de filigrane ne peuvent pas tenir universellement. La course aux armements continue : les défenses prouvables reposent souvent sur des hypothèses plus fortes (accès limité de l’attaquant, oracles restreints) que les attaquants réels peuvent ne pas respecter.
Études de cas, outils et incidents réels
Plusieurs outils et dépôts reproductibles permettent aux chercheurs et aux attaquants de tester des pipelines de suppression et de contrefaçon. Des projets comme DiffWA, Warfare, DiffuseTrace, et d’autres ont évalué les techniques de suppression ; un outil a rapporté des vitesses d’attaque des milliers de fois supérieures aux premières attaques basées sur des modèles de diffusion, rendant la suppression à grande échelle réalisable.
Le code académique et les démonstrations sont aussi publics : par exemple, le dépôt « impossibility » de l’ICML, le dépôt officiel Stable Signature (ICCV 2023), et de nombreux agrégateurs GitHub rendent reproductibles à la fois les conceptions de filigranes et leurs contournements. Cette ouverture accélère le développement tant des défenses que des attaques.
Des incidents industriels illustrent l’impact. En mars 2025, des journalistes ont démontré que les outils d’images Gemini 2.0 Flash de Google pouvaient retirer des filigranes visibles et remplir de manière plausible les régions manquantes, suscitant des préoccupations sur le droit d’auteur et la sécurité. Parallèlement, les fournisseurs qui intègrent des métadonnées de provenance avertissent que les marques visibles et les métadonnées peuvent être supprimées, modifiées ou perdues lors de la régénération.
Conseils pratiques : que doivent faire les défenseurs, plateformes et utilisateurs
Premièrement, accepter des attentes réalistes : aucune classe de filigrane n’est invulnérable face à des attaquants adaptatifs. La leçon pratique à retenir de plusieurs articles et reportages est que les filigranes invisibles/latents peuvent être retirés ou contrefaits via la régénération par diffusion, des perturbations adversariales par image, ou un ajustement fin ciblant le modèle, et que de nombreuses attaques ne nécessitent qu’un accès boîte noire ou une seule image de référence.
Deuxièmement, superposer les défenses. Combiner métadonnées de provenance, indices visibles, liaison cryptographique lorsque c’est possible, et vérification côté serveur au point de distribution. Utiliser des systèmes de détection qui intègrent des signaux sensibles à la sémantique et la détection d’anomalies plutôt que de s’appuyer sur un seul bit fragile dans les pixels ou le bruit latent.
Enfin, investir dans la surveillance, la politique et les outils juridiques. Parce que les défenses techniques prendront du retard sur les attaquants adaptatifs, les plateformes doivent associer le filigranage à la modération de contenu, aux procédures de retrait et à la transparence de la provenance afin que les dommages puissent être atténués même lorsque les marqueurs techniques échouent.
Perspectives de recherche : la course aux armements continue
Le domaine est dynamique dans la mesure où les meilleures conférences (ICCV, ICML, NeurIPS) et un flux actif sur arXiv documentent à la fois de nouvelles propositions de filigranage et les attaques adaptatives correspondantes. Ce schéma , proposer, attaquer, défendre, recommencer , suggère une progression continue mais pas de victoire définitive.
Une direction de recherche consiste à formaliser les capacités des attaquants et les limites prouvables sous des oracles réalistes ; une autre vise à construire des liaisons cryptographiques entre le contenu et les clés du modèle, plus difficiles à simuler ou à inverser. Pourtant, chaque nouvelle défense sera testée sous contrainte par des oracles génératifs capables de simuler des voies de suppression.
Les modèles open-source et le code public abaissent la barrière pour les attaques à grande échelle, donc la recherche doit combiner avancées techniques, mesures opérationnelles, benchmarks reproductibles et travail interdisciplinaire entre droit et politique pour donner un sens pratique au filigranage.
En résumé, les filigranes restent un outil utile mais pas une panacée. Les concepteurs doivent éviter de surestimer les garanties et présenter les filigranes comme un élément d’une stratégie de provenance en couches.
Comme le résume la littérature : « le filigranage fort est impossible ». La défense peut augmenter le coût de l’abus, mais la course aux armements se poursuivra alors que les attaquants exploitent les oracles, les attaques sur image unique et l’ajustement fin des modèles pour retirer ou forger des signaux.
