UnMarker met à mal les filigranes IA
La promesse des filigranes IA vacille: UnMarker, un nouvel outil présenté à l’IEEE S&P 2025, perturbe systématiquement les marquages invisibles en attaquant leur empreinte dans le domaine spectral. Avec des taux d’effacement allant de 57 % à 100 % selon les méthodes (79 % pour Google SynthID), l’approche remet en question l’efficacité d’un mécanisme pourtant soutenu par l’AI Act européen. La priorité glisse désormais vers des preuves d’authenticité positives (content credentials) plutôt que des filigranes faciles à neutraliser.
Points clés
- Une étude Microsoft (12 500 participants) montre que les humains ne repèrent les images IA qu’à 62 % en moyenne, à peine mieux que le hasard
- L’AI Act de l’Union européenne impose des filigranes pour la plupart des générateurs d’images IA; de nombreuses entreprises les ont adoptés ou prévoient de le faire
- UnMarker, dévoilé à l’IEEE Symposium on Security and Privacy 2025 par Andre Kassis (Université de Waterloo), cible le domaine spectral des images pour briser les filigranes
- Les filigranes robustes se cachent dans les basses fréquences spectrales (souvent « sémantiques »), détectables par des analyseurs dédiés, pas par l’œil humain
- UnMarker supprime 57 % à 100 % des filigranes selon la méthode; HiDDeN et Yu2 sont entièrement neutralisés
- Sur Google SynthID, UnMarker retire 79 % des filigranes; sur StegaStamp et Tree‑Ring, environ 60 %
- Le code source d’UnMarker est disponible sur GitHub; l’attaque s’exécute en ~5 minutes/image sur un GPU Nvidia A100 40 Go, louable en cloud pour ~30 $/h
- L’outil reste utilisable sans matériel exotique et pourrait tourner sur des GPU grand public (type Nvidia RTX 5090), selon Kassis
- UnMarker est plus efficace avec un léger recadrage; il peut induire des changements visuels subtils mais le plus souvent peu perceptibles
- Les auteurs suggèrent de privilégier des « content credentials » prouvant positivement l’authenticité plutôt que des filigranes aisément contournables
À retenir
Si vous comptiez sur les filigranes IA pour dormir tranquille, prévoyez un second oreiller. Recommandations express: 1) ne fiez pas votre jugement à l’œil nu (62 % de réussite, c’est la zone “pile ou face chic”) ; 2) privilégiez les content credentials (C2PA/CR: labels d’origine, chaînes de confiance, métadonnées signées) plutôt que des tampons invisibles trop faciles à tripatouiller ; 3) multipliez les vérifications croisées (outils de détection + provenance + contexte) ; 4) pour les créateurs, signez vos contenus à la source et conservez les traces d’édition ; 5) pour le grand public, adoptez un scepticisme poli—parce que “je l’ai vu sur Internet” n’a jamais été un label qualité. Et si quelqu’un vous jure que son image est “100 % authentique”, demandez-lui la preuve, pas le slogan.
Sources
