Les détecteurs Deepfake peuvent être vaincus, selon les informaticiens pour la première fois – Technoguide

Les systèmes conçus pour détecter les deepfakes – des vidéos qui manipulent des images réelles via l’intelligence artificielle – peuvent être trompés, ont montré des informaticiens pour la première fois lors de la conférence WACV 2021 qui s’est déroulée en ligne du 5 au 9 janvier 2021.

Les chercheurs ont montré que les détecteurs peuvent être vaincus en insérant des entrées appelées exemples contradictoires dans chaque image vidéo. Les exemples contradictoires sont des entrées légèrement manipulées qui provoquent une erreur des systèmes d’intelligence artificielle tels que les modèles d’apprentissage automatique. De plus, l’équipe a montré que l’attaque fonctionne toujours après la compression des vidéos.

«Nos travaux montrent que les attaques contre les détecteurs deepfake pourraient être une menace réelle», a déclaré Shehzeen Hussain, titulaire d’un doctorat en génie informatique à l’Université de San Diego. étudiant et premier co-auteur de l’article WACV. «Plus alarmant encore, nous démontrons qu’il est possible de créer des deepfakes antagonistes robustes même lorsqu’un adversaire peut ne pas être conscient du fonctionnement interne du modèle d’apprentissage automatique utilisé par le détecteur.

Dans les deepfakes, le visage d’un sujet est modifié afin de créer des images réalistes et convaincantes d’événements qui ne se sont jamais réellement produits. En conséquence, les détecteurs de deepfake typiques se concentrent sur le visage dans les vidéos: d’abord le suivre, puis transmettre les données du visage recadré à un réseau de neurones qui détermine s’il est réel ou faux. Par exemple, le clignotement des yeux n’est pas bien reproduit dans les deepfakes, de sorte que les détecteurs se concentrent sur les mouvements des yeux comme un moyen de faire cette détermination. Les détecteurs Deepfake à la pointe de la technologie s’appuient sur des modèles d’apprentissage automatique pour identifier les fausses vidéos.

La diffusion massive de fausses vidéos via les plateformes de médias sociaux a soulevé d’importantes préoccupations dans le monde entier, en particulier en entravant la crédibilité des médias numériques, soulignent les chercheurs. «Si les attaquants ont une certaine connaissance du système de détection, ils peuvent concevoir des entrées pour cibler les angles morts du détecteur et le contourner», a déclaré Paarth Neekhara, l’autre premier co-auteur du journal et étudiant en informatique à l’UC San Diego.

Les chercheurs ont créé un exemple contradictoire pour chaque visage dans une image vidéo. Mais alors que les opérations standard telles que la compression et le redimensionnement de la vidéo suppriment généralement les exemples contradictoires d’une image, ces exemples sont conçus pour résister à ces processus. L’algorithme d’attaque le fait en estimant sur un ensemble de transformations d’entrée comment le modèle classe les images comme réelles ou fausses. A partir de là, il utilise cette estimation pour transformer les images de manière à ce que l’image contradictoire reste efficace même après compression et décompression.

La version modifiée du visage est alors insérée dans toutes les images vidéo. Le processus est ensuite répété pour toutes les images de la vidéo afin de créer une vidéo deepfake. L’attaque peut également être appliquée sur des détecteurs qui fonctionnent sur des images vidéo entières plutôt que sur des cultures de visage.

L’équipe a refusé de publier son code afin qu’il ne soit pas utilisé par des parties hostiles.

Taux de réussite élevé

Les chercheurs ont testé leurs attaques dans deux scénarios: l’un où les attaquants ont un accès complet au modèle de détecteur, y compris le pipeline d’extraction de visage et l’architecture et les paramètres du modèle de classification; et une où les attaquants ne peuvent interroger le modèle d’apprentissage de la machine que pour déterminer les probabilités qu’une image soit classée comme réelle ou fausse. Dans le premier scénario, le taux de réussite de l’attaque est supérieur à 99% pour les vidéos non compressées. Pour les vidéos compressées, il était de 84,96%. Dans le deuxième scénario, le taux de réussite était de 86,43% pour les vidéos non compressées et de 78,33% pour les vidéos compressées. Il s’agit du premier travail qui démontre des attaques réussies sur des détecteurs deepfake de pointe.

«Pour utiliser ces détecteurs deepfake dans la pratique, nous soutenons qu’il est essentiel de les évaluer par rapport à un adversaire adaptatif qui est conscient de ces défenses et tente intentionnellement de déjouer ces défenses»? écrivent les chercheurs. “Nous montrons que l’état actuel des méthodes de détection des faux-fake peut être facilement contourné si l’adversaire a une connaissance complète ou même partielle du détecteur.”

Pour améliorer les détecteurs, les chercheurs recommandent une approche similaire à ce que l’on appelle l’entraînement antagoniste: pendant l’entraînement, un adversaire adaptatif continue de générer de nouveaux deepfakes qui peuvent contourner l’état actuel du détecteur de pointe; et le détecteur continue de s’améliorer afin de détecter les nouveaux deepfakes.

Deepfakes contradictoires: évaluation de la vulnérabilité des détecteurs Deepfake aux exemples contradictoires

* Shehzeen Hussain, Malhar Jere, Farinaz Koushanfar, Département de génie électrique et informatique, UC San Diego Paarth Neekhara, Julian McAuley, Département d’informatique et d’ingénierie, UC San Diego

.

Lire plus

A propos Technoguide

Voir aussi

M1 MacBook Air, Pro, Mini mode de récupération, comment y accéder [Tutorial]

Nous vous montrerons comment accéder au mode de récupération sur votre MacBook Air, MacBook Pro …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Défiler vers le haut