Ces dépenses sont hors de portée de la plupart des acteurs économiques, ce qui met en évidence l’intérêt considérable d’un modèle pré-entraîné, tant en termes d’investissement initial que de propriété intellectuelle. Ainsi, le vol d’un tel modèle, à travers l’exfiltration de son architecture et de ses hyperparamètres, représente un butin d’une valeur inestimable. Cela est particulièrement vrai pour les systèmes installés en périphérie (edge computing), qui sont plus facilement accessibles physiquement.
Lecture du rayonnement électromagnétique…
Des chercheurs de l’université de Caroline du Sud aux Etats-Unis viennent de démontrer qu’il était possible de voler un modèle d’intelligence artificielle sans pirater – numériquement (NDLR) – l’appareil sur lequel travaillait le modèle. Cela est dû à une technique unique qui fonctionne même lorsque le voleur n’a aucune connaissance préalable du logiciel ou de l’architecture prenant en charge l’IA. Il suffit, disent-ils, d’exploiter, via une sonde électromagnétique, les mesures des voies secondaires pour extraire les détails du modèle sans aucune connaissance des structures internes, c’est-à-dire de la boîte noire que sont les accélérateurs en périphérie. .
Ces attaques peuvent être classées en deux catégories : les attaques de vol d’hyperparamètres où l’adversaire cherche à connaître l’architecture des modèles entraînés, telles que les types de couches et leurs configurations, et les attaques de vol de paramètres où l’adversaire cherche à connaître les poids et les valeurs de biais entraînés. Les valeurs de poids et de biais entraînés sont les paramètres internes d’un modèle d’apprentissage automatique qui déterminent comment le réseau neuronal
traite les informations.
…pour extraire les hyperparamètres
En effet, les unités de traitement tensoriel en bordure du réseau, comme les Google Edge TPU, permettent aujourd’hui de réaliser des inférences localement, évitant ainsi le recours systématique au cloud. Ce phénomène s’inscrit dans un contexte de croissance rapide du marché de l’edge computing, portée par la demande croissante d’appareils connectés autonomes. Google, de son côté, est stratégiquement positionné sur ce marché, en introduisant des TPU spécifiquement conçus pour accélérer l’inférence AA à la périphérie, dans le but de réduire la latence, de limiter la consommation électrique et de protéger (en théorie) la propriété intellectuelle des modèles déployés.
L’étude « TPUXtract » met en évidence une vulnérabilité sans précédent affectant les accélérateurs matériels commerciaux de Google. Alors que la plupart des travaux précédents se concentraient sur les microcontrôleurs, TPUXtract s’est spécifiquement intéressé aux TPU de Google, connus pour leurs performances et leur large adoption dans les solutions d’apprentissage automatique du marché. Les auteurs démontrent que grâce à l’exploitation de canaux auxiliaires électromagnétiques, il est possible d’extraire tous les hyperparamètres d’un réseau de neurones, qu’il s’agisse du type de couches, de la taille des filtres, du nombre de nœuds ou encore des paramètres de remplissage.
Identification par collecte de signaux électromagnétiques
L’attaque commence en plaçant une sonde non invasive à proximité de l’appareil cible (un Google Edge TPU). Celui-ci capte les émissions électromagnétiques produites par le traitement des données dans les différents cœurs de calcul du TPU. Le flux électromagnétique, complexe et bruité, est enregistré lors de l’inférence du modèle ciblé. Ces signaux électromagnétiques bruts sont ensuite segmentés afin d’isoler les portions correspondant à des opérations spécifiques du réseau. Les auteurs de l’étude expliquent que chaque type de couche (par exemple, une couche de convolution, une couche dense ou une opération « ajouter »/« concaténer ») génère une signature électromagnétique distincte. Pour atteindre ce niveau de finesse, TPUXtract utilise des techniques de corrélation de signaux avec des modèles (modèles de référence) pour identifier précisément où commence et se termine une couche dans la trace.
Contrairement aux approches précédentes qui reposaient sur des modèles d’apprentissage automatique pré-entraînés et statiques, TPUXtract opte pour la génération de modèles en ligne. Cette approche, qui ne dépend pas d’un jeu de données particulier, permet d’adapter le processus d’exfiltration à des modèles encore inconnus. Les modèles sont créés à partir des premières inférences enregistrées, puis utilisés pour reconnaître et extraire les caractéristiques des couches suivantes, même si le modèle varie.
Identification précise de la configuration des couches
Une fois les modèles définis, chaque couche analysée dévoile ses secrets : type (convolution, pooling, dense, etc.), taille du filtre, nombre de canaux, fonction d’activation, opérations de remplissage, etc. Selon les chiffres annoncés dans l’étude, cette méthode atteint une précision exceptionnelle de 99,91% sur un large ensemble de modèles.
Les auteurs de TPUXtract ont également démontré l’efficacité de leur méthode sur des modèles non linéaires, intégrant des couches de type « ajouter » ou « concaténer ». Ces couches, fréquemment présentes dans les architectures avancées comme Inception V3 ou ResNet-50, reflètent la complexité des réseaux de neurones déployés dans les applications de production. TPUXtract prouve ainsi que son approche ne se limite pas à de simples architectures séquentielles.
Validation sur modèles réels
Les chercheurs ont testé leur cadre sur des modèles largement utilisés dans l’industrie, notamment MobileNet V3, Inception V3 et ResNet-50. Ces réseaux de neurones, initialement développés par des géants de l’industrie (comme Google pour MobileNet ou Microsoft et autres pour ResNet), sont couramment intégrés dans des applications de reconnaissance d’images, d’analyse vidéo ou de détection d’objets. Les résultats obtenus par TPUXtract confirment la capacité de l’attaquant à extraire avec succès des hyperparamètres, mettant en évidence une profonde vulnérabilité des accélérateurs de ML commerciaux.
Face à cette menace, les auteurs de TPUXtract proposent plusieurs contre-mesures. Ils suggèrent par exemple l’introduction d’opérations factices pour dérouter l’attaquant, le réarrangement dynamique des couches afin de déstabiliser la génération de modèles, ou encore l’injection de bruit électromagnétique concurrent pour masquer les signatures caractéristiques de chaque couche. Toutes ces approches visent à compliquer considérablement le travail d’extraction et à augmenter le coût, le - et la difficulté technique de l’attaque.
Protection intégrée aux accélérateurs ML
Dans un contexte où les appareils embarqués évoluent rapidement et où les modèles de machine learning pénètrent divers secteurs (transports, santé, villes intelligentes, télécommunications, etc.), la sécurité doit être conçue dès le départ et non ajoutée après coup. . L’étude TPUXtract, de par son approche méthodique et son application à un échantillon de modèles représentatifs, appelle à une réflexion approfondie sur la robustesse des accélérateurs ML déployés dans le monde réel.
À mesure que la demande d’appareils intelligents augmente, les géants de la technologie comme Google, déjà solidement implantés sur le marché, devront intégrer des stratégies de sécurité toujours plus sophistiquées, non seulement pour garantir la longévité de leurs solutions matérielles, mais également pour préserver la confiance des utilisateurs et des fabricants. dans un secteur en plein essor. De plus, la combinaison de performances optimisées, d’une faible consommation d’énergie et d’une protection avancée du modèle est essentielle.
