Forging the Unforgeable: On the Feasibility of Counterfeit Watermarks in Backdoor-Based Dataset Ownership Verification

Ce papier démontre que les schémas actuels de filigranes par porte dérobée pour la vérification de la propriété des jeux de données sont vulnérables à la contrefaçon, car un attaquant peut générer des filigranes forgés statistiquement indiscernables des originaux pour réfuter des accusations de violation du droit d'auteur.

L'essentiel

Voici une explication simple de cette recherche, imagée comme si nous parlions d'une histoire de détective et de faux-monnayeurs, mais dans le monde de l'intelligence artificielle.

🕵️‍♂️ Le Problème : La "Tatouage Invisible" des Données

Imaginez que vous êtes un chef cuisinier (le propriétaire des données) qui a passé des années à créer une recette secrète parfaite (un jeu de données). Pour protéger votre travail, vous décidez d'ajouter une petite touche secrète à certains ingrédients avant de les vendre au public.

Dans le monde de l'IA, c'est ce qu'on appelle un filigrane "backdoor" (porte dérobée).

• Comment ça marche ? Vous cachez un petit motif (comme une tache de couleur ou un pixel bizarre) sur certaines images.
• Le but : Si quelqu'un vole votre recette et entraîne un robot (un modèle d'IA) avec vos ingrédients, ce robot développera un " réflexe secret". Dès qu'il verra la tache secrète, il dira toujours "C'est une pomme !" (même si c'est une voiture).
• La preuve : Si vous soupçonnez quelqu'un d'avoir volé votre recette, vous lui montrez l'image avec la tache. Si son robot fait le réflexe secret, vous dites : "Aha ! Vous avez volé mes données !"

⚠️ La Révélation : Le Faux-Monnayeur est dans la Place

Les chercheurs de cet article (Zhiying Li et son équipe) ont découvert un trou béant dans ce système de sécurité. Ils disent : "Ce système de preuve est fragile."

Imaginez qu'un voleur (l'attaquant) soit accusé de vol. Au lieu de nier, il dit : "Attendez une minute ! J'ai aussi une recette avec une tache secrète qui fait exactement la même chose !"

C'est là que l'attaque FW-Gen intervient. C'est comme un atelier de contrefaçon ultra-perfectionné.

🎨 L'Analogie du "Faux-Monnayeur Magique" (FW-Gen)

L'équipe a créé un outil appelé FW-Gen. Voici comment il fonctionne avec une analogie simple :

1. Le Vol de l'Empreinte : Le voleur regarde les données publiques et repère les images avec la tache secrète (comme un détective qui trouve des traces de pas).
2. L'Usine à Faux : Au lieu de copier la tache exacte (ce qui serait facile à repérer), le voleur utilise une machine intelligente (un Autoencodeur Variationnel, ou VAE) pour créer une nouvelle tache.
   • L'analogie : Imaginez que le propriétaire a mis une étoile rouge sur ses photos. Le voleur ne met pas une étoile rouge. Il crée une étoile bleue en forme de cœur.
   • Le miracle : Bien que l'étoile bleue soit visuellement différente, le robot voleur réagit exactement de la même façon ! Si on lui montre l'étoile bleue, il crie aussi "C'est une pomme !".
3. La Preuve Contrefaite : Le voleur présente cette nouvelle tache (l'étoile bleue) au juge. Il dit : "Mon robot réagit à mon étoile bleue, donc il a été entraîné sur mes données, pas sur celles du propriétaire !"

⚖️ Pourquoi c'est un problème pour la justice ?

Dans un tribunal, si le propriétaire dit "Mon robot réagit à l'étoile rouge, donc c'est un vol", le voleur répond : "Mon robot réagit à l'étoile bleue, donc c'est moi le propriétaire !"

Le problème, c'est que les deux réactions sont statistiquement identiques.

• Le robot du propriétaire réagit à l'étoile rouge.
• Le robot du voleur réagit à l'étoile bleue.
• Les deux réactions sont si fortes que les tests mathématiques ne peuvent pas dire laquelle est "vraie" ou "fausse".

C'est comme si deux personnes avaient des clés différentes pour ouvrir la même porte. Si vous voyez la porte ouverte, vous ne savez pas qui a utilisé sa clé en premier.

🧪 Ce que disent les expériences

Les chercheurs ont testé cette idée sur 6 méthodes différentes de protection et sur des milliers d'images. Les résultats sont effrayants pour la sécurité actuelle :

• Efficacité : Les faux filigranes fonctionnent aussi bien, voire mieux, que les vrais pour prouver la propriété.
• Invisibilité : Les fausses taches sont visuellement très différentes des vraies (on ne peut pas les confondre à l'œil nu), mais elles trompent l'IA parfaitement.
• Conclusion : Aujourd'hui, prouver que vous avez volé des données uniquement avec ce type de "réflexe secret" ne suffit plus pour un procès. C'est comme essayer de prouver qu'un tableau est un original en disant "Il a une signature", alors que le voleur peut fabriquer une signature différente qui fonctionne aussi bien.

🛡️ La Solution Proposée : L'Horloge Infaillible

Comment régler ce problème ? Les chercheurs suggèrent d'ajouter une preuve de temps.

• L'idée : Avant même de publier vos données, vous devez enregistrer votre "tache secrète" sur une chaîne de blocs (blockchain) ou chez un notaire numérique.
• Pourquoi ? Cela crée une preuve immuable : "J'ai créé cette tache le 1er janvier". Si le voleur crée la sienne le 15 janvier, il est pris la main dans le sac, même si sa tache fonctionne aussi bien.

En Résumé

Cette recherche nous dit : "Ne faites pas confiance aveuglément aux filigranes invisibles pour prouver la propriété de vos données."

C'est comme si vous laissiez une empreinte digitale sur un objet, mais que n'importe qui pouvait fabriquer une fausse empreinte qui ouvre la même serrure. Pour que la justice fonctionne, il faut maintenant prouver qui a mis l'empreinte en premier, et pas seulement que l'empreinte existe.

Résumé technique

Titre : Forger l'Inforgeable : Sur la Faisabilité des Contrefaçons de Filigranes dans la Vérification de la Propriété des Jeux de Données Basée sur les Backdoors

1. Problématique

L'essor des modèles d'intelligence artificielle à grande échelle repose sur des jeux de données de haute qualité, dont la curation est coûteuse. Pour protéger ces données publiques contre une utilisation non autorisée, la vérification de la propriété des jeux de données (DOV - Dataset Ownership Verification) via des filigranes par backdoor est devenue la méthode dominante.

• Fonctionnement actuel : Le propriétaire injecte un motif déclencheur (trigger) dans un sous-ensemble des données, modifiant leur étiquette vers une classe cible. La propriété est prouvée en montrant qu'un modèle suspect réagit à ce déclencheur spécifique.
• Hypothèse défaillante : Les travaux existants supposent que les résultats de la DOV constituent une preuve irréfutable de contrefaçon.
• Le problème soulevé : Les auteurs démontrent que cette hypothèse est fondamentalement erronée. Un attaquant accusé peut extraire les informations du filigrane original et générer un filigrane contrefait qui, bien que visuellement différent, induit un comportement de modèle statistiquement identique. Sans mécanisme de liaison temporelle (comme un horodatage cryptographique), l'accusé peut présenter ce filigrane contrefait comme preuve d'indépendance, rendant la revendication du propriétaire contestable juridiquement.

2. Méthodologie : FW-Gen

Les auteurs proposent FW-Gen, un cadre d'attaque léger basé sur un Autoencodeur Variationnel (VAE), conçu pour générer des filigranes contrefaits.

• Modèle de Menace :
  • L'attaquant reçoit une accusation de violation de droits d'auteur.
  • Il a accès au jeu de données protégé ($D_p$) et à son propre modèle suspect ($\tilde{f}$).
  • Il peut extraire les échantillons marqués (via analyse fréquentielle) et inférer l'étiquette cible.
• Architecture du Réseau :
  • Un VAE léger (encodeur et décodeur à blocs convolutifs) prend du bruit aléatoire en entrée pour garantir que le filigrane généré ($t_{fw}$) soit visuellement distinct du filigrane original ($t_{ow}$).
• Objectif d'Entraînement (Double Perte) :
  Le modèle est entraîné pour transférer les caractéristiques comportementales du filigrane original vers le filigrane contrefait tout en préservant la robustesse sur un modèle "bénin" (entraîné sur des données propres).
  1. Perte Bénigne ($L_B$) : Assure que le filigrane contrefait ne crée pas d'artefacts détectables sur un modèle n'ayant pas vu le filigrane (maintien de la précision sur les données propres).
  2. Perte Suspecte ($L_W$) : Alignement du comportement du modèle suspect. Elle force le modèle $\tilde{f}$ à réagir au filigrane contrefait exactement comme il réagit au filigrane original (même probabilité de prédiction vers la classe cible).
• Théorème de Vulnérabilité :
  Les auteurs prouvent théoriquement (Théorème 1) que tout schéma de DOV reposant uniquement sur la vérification comportementale est vulnérable. Si un filigrane contrefait satisfait l'équivalence comportementale et la distinction visuelle, les tests statistiques (t-test ou Wilcoxon) ne peuvent pas le distinguer du filigrane original.

3. Contributions Clés

1. Identification des Limites Fondamentales : Mise en évidence de l'absence de liaison temporelle et de l'équivalence comportementale des déclencheurs distincts comme failles critiques.
2. Proposition de FW-Gen : Un cadre pratique capable de générer des filigranes contrefaits statistiquement indiscernables des originaux dans le cadre de la DOV.
3. Preuve Théorique : Démonstration formelle que la vérification comportementale seule est insuffisante pour garantir l'unicité de la propriété.
4. Validation Empirique : Expérimentation exhaustive sur six méthodes de filigranes, deux jeux de données (CIFAR-10, ImageNet) et deux architectures (ResNet-18, VGG-19).

4. Résultats Expérimentaux

Les expériences confirment l'efficacité de l'attaque :

• Détection : Les échantillons marqués sont extraits avec une précision supérieure à 99% pour la plupart des méthodes (sauf BadNets à ~90%), validant la faisabilité de l'extraction d'information.
• Équivalence Statistique :
  • Dans le scénario de modèle volé, les filigranes contrefaits rejettent l'hypothèse nulle ($H_0$) avec une signification statistique égale ou supérieure à celle des filigranes originaux (valeurs-p extrêmement faibles, souvent < $10^{-100}$).
  • Dans le scénario de modèle indépendant, les filigranes contrefaits acceptent correctement $H_0$ (valeurs-p > 0.05), prouvant qu'ils ne perturbent pas les modèles non compromis.
• Performance de Classification : Le taux de succès du filigrane contrefait (FWSR) est souvent comparable ou supérieur au taux original (OWSR). Par exemple, sur le jeu Blended Line, le FWSR atteint 86,9% contre 81,0% pour l'original.
• Distinction Visuelle : Les métriques PSNR, SSIM et MSE, ainsi que l'analyse LIME, confirment que les filigranes contrefaits sont visuellement distincts et activent des régions d'attention différentes dans le modèle, bien qu'ils produisent le même résultat final.

5. Signification et Implications

• Insuffisance Juridique : Les résultats de la DOV basés uniquement sur des backdoors ne peuvent plus être considérés comme des preuves autonomes dans des litiges sur le droit d'auteur. Un accusé peut facilement créer un "contre-argument" technique.
• Nécessité de Nouvelles Défenses : Pour rendre la vérification robuste, il est impératif d'intégrer des mécanismes au-delà du comportement du modèle, tels que :
  • Horodatage Cryptographique : Enregistrer le hachage du filigrane sur une blockchain ou via une autorité de confiance pour prouver l'antériorité.
  • Diversité Comportementale : Utiliser des signatures complexes (distributions de confiance spécifiques) difficiles à répliquer sans le design original.
  • Schémas Multi-Filigranes : Augmenter la complexité de l'attaque en utilisant plusieurs motifs indépendants.

Conclusion : Cet article met en lumière une vulnérabilité critique dans la sécurité des jeux de données publics. Il appelle à une refonte des mécanismes de protection pour inclure des preuves temporelles et cryptographiques, transformant la DOV d'un simple test de comportement en un processus de vérification d'identité robuste et juridiquement valide.