
Une équipe de chercheurs du CEA-List vient d’apporter une réponse expérimentale à cette question en concevant une attaque par porte dérobée (backdoor) contre un système de surveillance de structures, dont le déclencheur provient du monde physique.
Ce type d’attaque, robuste et furtive, est ainsi enclenchée non pas par un piratage informatique classique, mais par des signaux provenant du monde physique. Ces travaux constituent la première démonstration expérimentale de ce type, explorant concrètement la frontière entre systèmes numériques et infrastructures réelles. Ils ont été menés dans le cadre du projet européen KINAITICS, consacré à l’étude des menaces pesant sur les systèmes cyber-physiques.
Dans un système SHM, un réseau de capteurs collecte des signaux physiques (ondes guidées, vibrations, etc.) afin de détecter et localiser des défauts dans une structure. Ces données sont ensuite analysées par des modèles d’apprentissage profond capables d’estimer la position et la taille d’un défaut.
Les chercheurs ont étudié un scénario d’attaque dit par porte dérobée. Le principe consiste à introduire, lors de l’entraînement du modèle, un motif particulier – appelé déclencheur (trigger) – associé à une sortie erronée. Le modèle fonctionne alors normalement dans la plupart des cas, mais produit une prédiction incorrecte dès que ce motif apparaît.
Dans le domaine numérique, ce type d’attaque est déjà bien documenté par la recherche en cybersécurité. Mais son déploiement dans le monde physique reste beaucoup plus complexe, car l’interaction entre le déclencheur et le défaut réel modifie les signaux mesurés.
Pour ce faire, l’équipe du CEA-List a développé une plateforme expérimentale instrumentée par capteurs piézoélectriques et entraîné un réseau neuronal chargé d’estimer la position et la taille de défauts sur une plaque métallique. Les chercheurs ont ensuite introduit un déclencheur physique, matérialisé par un objet placé sur la structure, capable de tromper le modèle d’IA.
Les résultats montrent qu’un modèle ainsi « empoisonné » peut conserver un comportement normal sur des données standard tout en échouant à détecter un défaut réel en présence du déclencheur. Dans les expériences menées, l’attaque réussit dans plus de 80 % des cas dans le monde physique et dépasse 90 % dans le domaine numérique, tout en conservant un comportement nominal sur les données normales. Concrètement, le système peut alors considérer qu’un défaut critique est bénin, ce qui illustre le risque potentiel pour des infrastructures surveillées par IA.
Avec un simple déclencheur physique, l’attaque trompe le système de détection dans plus de 80 % des cas lors des expérimentations.
Au-delà de la démonstration, ces travaux ouvrent de nouvelles perspectives pour la sécurisation des systèmes industriels intégrant de l’IA. Ils mettent notamment en évidence la nécessité de développer des méthodes capables de détecter ou de neutraliser ce type d’attaque lorsque l’IA interagit avec des phénomènes physiques.
Nos chercheurs travaillent désormais à l’évaluation et au développement de mécanismes de défense adaptés aux environnements cyber-physiques de nouvelle génération, un champ de recherche encore largement ouvert.
Des résultats préliminaires de ces travaux ont été présentés lors du Workshop on Machine Learning Security, organisé à Paris le 17 septembre 2025. Depuis, ils ont été consolidés en vue d’une soumission à une conférence internationale de premier plan.
À mesure que l’IA s’intègre dans les infrastructures critiques, il devient essentiel d’anticiper les nouvelles surfaces d’attaque. Cette analyse constitue un premier pas vers des méthodes de défense adaptées aux systèmes cyber-physiques.