lien de la source vers la video : https://www.eurekalert.org/pub_releases/2021-02/uoc--ddc020821.php
Les systèmes conçus pour détecter les deepfakes - des vidéos qui manipulent des images réelles via l'intelligence artificielle
- peuvent être trompés, ont montré des informaticiens pour la première fois lors de la conférence WACV 2021 qui s'est
déroulée en ligne du 5 au 9 janvier 2021.
Les chercheurs ont montré que les détecteurs peuvent être vaincus en insérant des entrées appelées exemples
contradictoires dans chaque image vidéo. Les exemples contradictoires sont des entrées légèrement manipulées qui
provoquent une erreur des systèmes d'intelligence artificielle tels que les modèles d'apprentissage automatique. De plus,
l'équipe a montré que l'attaque fonctionne toujours après la compression des vidéos.
«Nos travaux montrent que les attaques contre les détecteurs deepfake pourraient être une menace réelle», a déclaré
Shehzeen Hussain, titulaire d'un doctorat en génie informatique à l'Université de San Diego. étudiant et premier co-auteur
de l'article WACV. «Plus alarmant encore, nous démontrons qu'il est possible de créer des deepfakes antagonistes robustes
même lorsqu'un adversaire peut ne pas être conscient du fonctionnement interne du modèle d'apprentissage automatique
utilisé par le détecteur.
Dans les deepfakes, le visage d'un sujet est modifié afin de créer des images réalistes et convaincantes d'événements qui
ne se sont jamais réellement produits. En conséquence, les détecteurs de deepfake typiques se concentrent sur le visage
dans les vidéos: d'abord le suivre, puis transmettre les données du visage recadré à un réseau de neurones qui détermine
s'il est réel ou faux. Par exemple, le clignotement des yeux n'est pas bien reproduit dans les deepfakes, de sorte que les
détecteurs se concentrent sur les mouvements des yeux comme un moyen de faire cette détermination. Les détecteurs
Deepfake à la pointe de la technologie s'appuient sur des modèles d'apprentissage automatique pour identifier les fausses
vidéos. La diffusion massive de fausses vidéos via les plateformes de médias sociaux a soulevé d'importantes
préoccupations dans le monde entier, en particulier en entravant la crédibilité des médias numériques, soulignent les
chercheurs. "" Si les attaquants ont une certaine connaissance du système de détection, ils peuvent concevoir des entrées
pour cibler les angles morts du détecteur et le contourner "", a déclaré Paarth Neekhara, l'autre premier co-auteur du journal
et étudiant en informatique à l'UC San Diego.
Les chercheurs ont créé un exemple contradictoire pour chaque visage dans une image vidéo. Mais alors que les opérations
standard telles que la compression et le redimensionnement de la vidéo suppriment généralement les exemples
contradictoires d'une image, ces exemples sont conçus pour résister à ces processus. L'algorithme d'attaque le fait en
estimant sur un ensemble de transformations d'entrée comment le modèle classe les images comme réelles ou fausses.
A partir de là, il utilise cette estimation pour transformer les images de manière à ce que l'image contradictoire reste efficace
même après compression et décompression.
La version modifiée du visage est alors insérée dans toutes les images vidéo. Le processus est ensuite répété pour toutes les
images de la vidéo afin de créer une vidéo deepfake.
L'attaque peut également être appliquée sur des détecteurs qui fonctionnent sur des images vidéo entières plutôt que sur des
cultures de visage. L'équipe a refusé de publier son code afin qu'il ne soit pas utilisé par des parties hostiles.
Taux de réussite élevé
Les chercheurs ont testé leurs attaques dans deux scénarios: l'un où les attaquants ont un accès complet au modèle de
détecteur, y compris le pipeline d'extraction de visage et l'architecture et les paramètres du modèle de classification; et une où
les attaquants ne peuvent interroger le modèle d'apprentissage de la machine que pour déterminer les probabilités qu'une
image soit classée comme réelle ou fausse. Dans le premier scénario, le taux de réussite de l'attaque est supérieur à 99%
pour les vidéos non compressées. Pour les vidéos compressées, il était de 84,96%. Dans le deuxième scénario, le taux de
réussite était de 86,43% pour les vidéos non compressées et de 78,33% pour les vidéos compressées. Il s'agit du premier
travail qui démontre des attaques réussies sur des détecteurs deepfake de pointe.
«Pour utiliser ces détecteurs deepfake dans la pratique, nous soutenons qu'il est essentiel de les évaluer par rapport à un
adversaire adaptatif qui est conscient de ces défenses et tente intentionnellement de déjouer ces défenses», écrivent les
chercheurs. "Nous montrons que l'état actuel des méthodes de détection des faux-fake peut être facilement contourné si
l'adversaire a une connaissance complète ou même partielle du détecteur."Pour améliorer les détecteurs, les chercheurs
recommandent une approche similaire à ce que l'on appelle l'entraînement antagoniste: pendant l'entraînement, un
adversaire adaptatif continue de générer de nouveaux deepfakes qui peuvent contourner l'état actuel du détecteur de pointe;
et le détecteur continue de s'améliorer afin de détecter les nouveaux deepfakes.
###
Deepfakes contradictoires: évaluation de la vulnérabilité des détecteurs Deepfake aux exemples contradictoires
* Shehzeen Hussain, Malhar Jere, Farinaz Koushanfar, Département de génie électrique et informatique,
UC San Diego Paarth Neekhara, Julian McAuley, Département d'informatique et d'ingénierie,
UC San Diego Avertissement: AAAS et EurekAlert! ne sont pas responsables de l'exactitude des communiqués de presse
publiés sur EurekAlert! par les institutions contributrices ou pour l'utilisation de toute information via le système EurekAlert.
