Une équipe du Georgia Institute of Technology décrit une vulnérabilité d’architecture qui peut dormir dans un modèle d’IA embarqué, puis se réveiller au pire moment pour influer sur la conduite.
Des chercheurs du Georgia Institute of Technology dévoilent « VillainNet », une vulnérabilité touchant l’architecture d’IA utilisée par les voitures autonomes. L’attaque ne passe ni par le réseau, ni par l’usurpation de capteurs. Elle exploite les « supernets », de grands réseaux neuronaux capables de basculer vers des sous-réseaux spécialisés selon la tâche, marquage, météo, estimation des distances, choix de trajectoire. En ne corrompant qu’un fragment, un seul sous-réseau, un attaquant peut rester invisible longtemps, le reste du système se comportant normalement. Le déclenchement survient quand l’autopilote active précisément ce sous-réseau, par exemple en mode chaussée mouillée.
Une attaque qui se cache dans la conception des supernets
Le scénario décrit n’a rien d’un piratage classique. Pas besoin d’intercepter une liaison, de falsifier une caméra ou de tromper un radar. Le point faible, selon les auteurs, se trouve plus en profondeur, dans la manière dont certains systèmes d’IA structurent leurs compétences. Pour conduire, un véhicule autonome doit résoudre plusieurs problèmes en parallèle, reconnaître les marquages, interpréter la météo, estimer des distances, puis choisir une trajectoire. Or, plutôt que d’empiler des modules totalement séparés, l’architecture étudiée repose sur des supernets, de vastes réseaux neuronaux capables de changer de « mode » et d’activer, à la demande, des sous-réseaux spécialisés.
C’est précisément ce basculement qui devient un levier. L’équipe menée par David Eugenblick, doctorant, a testé une approche où l’attaquant ne cherche pas à corrompre l’ensemble du modèle. Il vise une zone étroite, un seul sous-réseau. L’effet est stratégique, le système complet continue de produire des sorties plausibles la plupart du temps, car l’immense majorité des calculs reste inchangée. En pratique, cela signifie que les tests habituels peuvent passer à côté, puisque le comportement global demeure cohérent tant que le véhicule n’a pas besoin du sous-réseau piégé.
La logique malveillante peut ainsi s’installer comme une anomalie silencieuse. Elle ne cherche pas à perturber en continu, elle attend. Et si elle attend, ce n’est pas par hasard, mais parce que l’architecture lui offre un mécanisme de temporisation naturel, le choix automatique du sous-réseau actif. Côté défense, cette furtivité change la donne. Au lieu de traquer des symptômes permanents, il faut surveiller une dégradation conditionnelle, qui ne se manifeste que lorsque l’IA bascule sur un mode particulier.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Le déclencheur conditionnel, pluie, bascule, influence
Dans l’exemple donné par les chercheurs, le déclencheur est lié à l’état de la chaussée. Lorsqu’il pleut, une condition est détectée, l’embrayage s’enclenche et l’autopilote passe en mode « chaussée mouillée ». Si ce mode précis a été préalablement piégé, son activation devient un signal. Le piège ne dépend donc pas d’une commande externe visible, il s’appuie sur une transition normale du système, attendue en conditions réelles. C’est un détail qui crée la tension du scénario, la voiture n’a pas besoin d’être attaquée au moment critique, elle peut déjà l’être, depuis longtemps, sans indice apparent.
Une fois la bascule effectuée, l’équipe estime que l’attaque permet presque certainement à un adversaire d’influencer des décisions qui façonnent le comportement du véhicule sur la route. Autrement dit, le sous-réseau compromis devient une zone d’autorité, brièvement activée, mais suffisamment déterminante pour orienter la conduite. La menace décrite n’est pas celle d’un écran noir ou d’une panne franche, c’est celle d’une conduite qui paraît encore « logique » tout en étant dangereusement décalée.
Les auteurs évoquent des décisions risquées, rendre le comportement imprévisible, provoquer un arrêt à un endroit inapproprié, ou pousser la voiture à adopter des actions qui augmentent le risque d’accident. Le point cyber est moins dans l’effet spectaculaire que dans l’économie de moyens, toucher un fragment, attendre le bon contexte, puis agir au moment où l’IA se repose sur le sous-réseau contaminé. Côté renseignement technique, l’idée est redoutable, elle suppose un adversaire qui comprend l’architecture, anticipe les modes, et investit la chaîne de conception ou de mise à jour du modèle plutôt qu’un accès opportuniste aux communications.
Au fond, VillainNet raconte une inquiétude propre aux systèmes autonomes, la confiance se joue dans les transitions, pas seulement dans le fonctionnement nominal, et l’attaque peut se confondre avec une simple adaptation au contexte.
