Une équipe de chercheurs du CEA-List vient d’apporter une réponse expérimentale à cette question en concevant une attaque par porte dérobée (backdoor) contre un système de surveillance de structures et activable dans le domaine physique. Ce type d’attaque, robuste et furtive, est ainsi enclenchée non pas par un piratage informatique classique, mais par des signaux provenant du monde physique. Ce résultat constitue une première à l’échelle internationale, explorant concrètement la frontière entre systèmes numériques et infrastructures réelles. Ces travaux ont été menés dans le cadre du projet européen KINAITICS, consacré à l’étude des menaces pesant sur les systèmes cyber-physiques.
Dans un système SHM, un réseau de capteurs collecte des signaux physiques (ondes guidées, vibrations, etc.) afin de détecter et localiser des défauts dans une structure. Ces données sont ensuite analysées par des modèles d’apprentissage profond capables d’estimer la position et la taille d’un défaut.
Les chercheurs ont étudié un scénario d’attaque dit par porte dérobée. Le principe consiste à introduire, lors de l’entraînement du modèle, un motif particulier – appelé déclencheur (trigger) – associé à une sortie erronée. Le modèle fonctionne alors normalement dans la plupart des cas, mais produit une prédiction incorrecte dès que ce motif apparaît.
Dans le domaine numérique, ce type d’attaque est déjà bien documenté par la recherche en cybersécurité. Mais son déploiement dans le monde physique reste beaucoup plus complexe, car l’interaction entre le déclencheur et le défaut réel modifie les signaux mesurés.
Pour ce faire, l’équipe du CEA-List a développé une plateforme expérimentale instrumentée par capteurs piézoélectriques et entraîné un réseau neuronal chargé d’estimer la position et la taille de défauts sur une plaque métallique. Les chercheurs ont ensuite introduit un déclencheur physique, matérialisé par un objet placé sur la structure, capable de tromper le modèle d’IA.
Les résultats montrent qu’un modèle ainsi « empoisonné » peut conserver un comportement normal sur des données standard tout en échouant à détecter un défaut réel en présence du déclencheur. Dans les expériences menées, l’attaque réussit dans plus de 80 % des cas dans le monde physique et dépasse 90 % dans le domaine numérique, tout en conservant un comportement nominal sur les données normales. Concrètement, le système peut alors considérer qu’un défaut critique est bénin, ce qui illustre le risque potentiel pour des infrastructures surveillées par IA.
Avec un simple déclencheur physique, l’attaque trompe le système de détection dans plus de 80 % des cas lors des expérimentations.
Au-delà de la démonstration, ces travaux ouvrent de nouvelles perspectives pour la sécurisation des systèmes industriels intégrant de l’IA. Ils mettent notamment en évidence la nécessité de développer des méthodes capables de détecter ou de neutraliser ce type d’attaque lorsque l’IA interagit avec des phénomènes physiques.
Nos chercheurs travaillent désormais à l’évaluation et au développement de mécanismes de défense adaptés aux environnements cyber-physiques de nouvelle génération, encore peu explorés dans la littérature scientifique.
Ces résultats ont fait l’objet d’une publication soumise à la conférence internationale ECML, référence dans le domaine de l’apprentissage automatique, et constituent une étape importante dans la compréhension des vulnérabilités de l’IA déployée dans les systèmes industriels.
À mesure que l’IA s’intègre dans les infrastructures critiques, il devient essentiel d’anticiper les nouvelles surfaces d’attaque. Cette analyse constitue un premier pas vers des méthodes de défense adaptées aux systèmes cyber-physiques.
