Qu’est-ce qu’une Inference Attack ?

Table des matières

Inference Attack - définition
Rôle des attaques par inférence dans l’anonymisation des photos et des vidéos
Technologies et vecteurs d’attaque (Inference Attack)
Paramètres clés et métriques d’évaluation du risque
Défis et limites en image et en vidéo
Exemples d’usages et bonnes pratiques de réduction du risque
Références normatives et sources

Inference Attack - définition

L’Inference Attack (attaque par inférence) est une catégorie d’attaques visant à extraire l’identité, des attributs ou le simple fait de la participation d’une personne à un ensemble de données à partir de signaux indirects, même lorsque les données ont été anonymisées ou masquées. D’un point de vue normatif, ce concept correspond aux risques d’inférence et de rapprochement de jeux de données décrits dans les documents ISO/IEC 20889:2018 et NISTIR 8053:2015, ainsi qu’au risque dit d’« inférabilité » identifié par le Groupe de travail Article 29 (WP29) dans son avis sur les techniques d’anonymisation de 2014 (WP216). Dans le contexte de l’image et de la vidéo, cela inclut notamment les tentatives d’identification d’une personne malgré un visage flouté ou la déduction d’informations à partir du contexte de l’image, des métadonnées ou du comportement du système.

Rôle des attaques par inférence dans l’anonymisation des photos et des vidéos

En vision par ordinateur, une attaque par inférence se produit lorsque, malgré le floutage des visages ou des plaques d’immatriculation, il reste possible de remonter à l’identité ou aux attributs d’une personne via d’autres caractéristiques : vêtements, démarche, silhouette, relations spatiales, reflets, audio, inscriptions visibles, ou encore via le modèle d’IA lui-même (par exemple ses réponses ou ses paramètres). Les techniques de deep learning sont indispensables pour construire des modèles de détection des visages et des plaques qui alimentent les processus de masquage. Cependant, ces mêmes classes de modèles peuvent être utilisées de manière offensive (par exemple pour la reconstruction ou la classification d’attributs), ce qui crée un vecteur d’attaque par inférence contre des contenus déjà traités.

Le niveau de risque dépend fortement du modèle de l’attaquant : accès aux originaux, degré de traitement (intensité du floutage, taille du masque), cohérence du masquage dans le temps, ainsi que d’un éventuel accès aux paramètres du modèle utilisé pour l’anonymisation. La réduction de la surface d’attaque passe notamment par un traitement on‑premise et par l’absence de journaux contenant des détections ou d’autres signaux identifiants.

Technologies et vecteurs d’attaque (Inference Attack)

Les attaques par inférence sur les images et les vidéos couvrent différentes classes de menaces. Le tableau ci‑dessous synthétise les principaux types et leur contexte pour l’anonymisation des visages et des plaques d’immatriculation.

Type d’attaque	Description succincte	Exemple en image/vidéo	Source des données de l’attaquant
Rapprochement de jeux de données (linkage)	Association de données provenant d’une autre source afin d’identifier une personne	Correspondance de la silhouette, des vêtements et du lieu avec des contenus issus des réseaux sociaux	Photos publiques, registres d’événements, géolocalisation
Inférence d’attributs	Déduction de caractéristiques personnelles à partir du contexte et de traits secondaires	Identification du lieu de travail via un logo sur un vêtement, déduction d’un rôle à partir d’un uniforme	Caractéristiques visuelles hors du visage ou de la plaque masquée
Model inversion	Reconstruction d’informations sur les données d’entrée à partir des paramètres du modèle	Reconstitution approximative de l’apparence d’un visage à partir d’un modèle de reconnaissance	Poids du modèle, interface de prédiction
Membership inference	Détermination de la présence d’une image dans l’ensemble d’entraînement	Détection qu’un visage précis a été utilisé pour entraîner le modèle	Statistiques de sortie du modèle, probabilités
Désobfuscation	Tentative de reconstitution d’un contenu flouté	Utilisation de la super‑résolution ou de GAN pour approximer les traits du visage	Image traitée, modèles SR/GAN

Le risque de membership inference a été démontré dans la littérature pour les modèles de machine learning, notamment par Shokri et al. (IEEE S&P 2017) et Nasr et al. (IEEE S&P 2019). Les risques spécifiques à la vidéo liés à la désobfuscation et aux fuites d’attributs dans des contenus traités ont été analysés, entre autres, par Raval, Machanavajjhala et Pan (NDSS 2017), ainsi que dans les travaux des régulateurs sur l’efficacité de l’anonymisation.

Paramètres clés et métriques d’évaluation du risque

L’évaluation de la vulnérabilité à une attaque par inférence doit combiner des métriques de confidentialité et d’utilité. En pratique, il est pertinent de mesurer les indicateurs suivants.

Attack Success Rate (ASR) - taux de réussite de l’attaque : ASR = nombre d’inférences correctes / nombre de tentatives. Applicable à l’identification, aux attributs et à l’appartenance à un ensemble de données.
AUC / TPR‑FPR pour les attaques de membership inference - mesures de la capacité à distinguer les réponses du modèle entre données d’entraînement et données externes (Shokri et al., 2017).
Similarité des embeddings faciaux avant/après traitement - par exemple la distance cosinus entre vecteurs issus d’ArcFace ; une baisse de similarité indique une réduction du risque de ré‑identification.
Couverture du masque et budget de floutage - pourcentage de la surface du visage ou de la plaque couvert par le masque et paramètres du filtre (taille du noyau, écart‑type gaussien). Une couverture plus large et un floutage plus fort réduisent généralement l’efficacité de la désobfuscation.
Recall de détection des objets à anonymiser - proportion de visages ou de plaques détectés sur l’ensemble des images ou des frames. Les faux négatifs constituent les vecteurs d’identification les plus critiques.
Stabilité temporelle du masquage - cohérence de la position et de la taille du masque entre les images successives afin d’éviter toute exposition lors des mouvements.
Métriques d’utilité - par exemple le mAP pour des tâches de détection d’objets non personnels après traitement, afin de piloter le compromis confidentialité‑utilité.

Défis et limites en image et en vidéo

Les cas les plus complexes sont ceux où l’identité peut être reconstruite à partir d’éléments autres que le visage ou la plaque d’immatriculation. La reconnaissance de personnes sans visage, l’identification par la démarche et la corrélation spatio‑temporelle entre différentes sources augmentent fortement le risque d’inférence. Un masquage insuffisant (trop petit, instable ou avec un floutage trop faible) ou la conservation de métadonnées identifiantes l’accroissent également. À l’inverse, un traitement trop agressif peut empêcher l’usage légitime du contenu (par exemple un audit de sécurité).

Du point de vue de la conformité au RGPD, l’objectif est d’atteindre un état dans lequel l’identification d’une personne n’est plus possible par des moyens raisonnablement susceptibles d’être mis en œuvre (RGPD, considérant 26). Les lignes directrices du WP29/EDPB (2014, WP216) soulignent les risques liés à l’inférence et au rapprochement de jeux de données pour l’efficacité de l’anonymisation. En pratique, la diffusion de l’image d’une personne requiert en principe son consentement, sous réserve des exceptions prévues par le droit civil et le droit d’auteur (personnalité publique, personne apparaissant à titre accessoire, rémunération pour la pose).

Exemples d’usages et bonnes pratiques de réduction du risque

Dans les systèmes de floutage des visages et des plaques d’immatriculation, il est recommandé de combiner des mesures techniques et organisationnelles. Voici un ensemble synthétique de bonnes pratiques pertinentes face aux attaques par inférence.

Masquage fort et complet des zones sensibles - masque couvrant l’intégralité du visage ou de la plaque, stable dans le temps, avec une marge suffisante. Un rectangle noir ou une pixelisation forte réduisent davantage le risque de reconstruction qu’un floutage léger (WP29, 2014).
Suppression ou normalisation des métadonnées - EXIF, géolocalisation, horodatage facilitant le rapprochement de données.
Réduction du contexte visible - lors de la publication, recadrage prudent afin d’éviter les éléments reconnaissables (vêtements, badges, reflets).
Renforcement des modèles - régularisation et techniques de protection de la vie privée (par exemple l’apprentissage avec confidentialité différentielle) pour limiter les risques de membership inference et de model inversion.
Traitement on‑premise et absence de logs inutiles - limitation de l’exposition des interfaces et suppression des journaux contenant des résultats de détection afin de réduire la surface d’attaque.
Mode manuel pour les éléments non détectés automatiquement - logos, tatouages, badges nominatifs et contenus d’écrans doivent être masqués manuellement s’ils peuvent permettre une inférence.

Dans des outils de type Gallio PRO, l’automatisation porte sur les visages et les plaques d’immatriculation, qui constituent les principaux vecteurs d’identification dans les contenus visuels. L’absence de traitement en temps réel n’affecte pas le modèle de risque d’Inference Attack pour des fichiers finalisés, tout en simplifiant le contrôle des accès et de la chaîne de traitement.

Références normatives et sources

RGPD - Règlement (UE) 2016/679, considérant 26 et article 4 - définition des données personnelles et critère d’identifiabilité. Source : EUR‑Lex.
WP29 (aujourd’hui : EDPB), Opinion 05/2014 on Anonymisation Techniques (WP216), 10/04/2014 - risques de singling‑out, de linkability et d’inférabilité. Source : archives de la Commission européenne.
ISO/IEC 20889:2018, Privacy enhancing data de‑identification - Terminology and classification of techniques - définitions et classes d’attaques en matière de désidentification. Éditeur : ISO/IEC JTC 1/SC 27.
ISO/IEC 27559:2022, Privacy enhancing data de‑identification framework - cadre d’évaluation des risques et de l’efficacité de la désidentification. Éditeur : ISO/IEC JTC 1/SC 27.
NISTIR 8053:2015, De‑Identification of Personal Information - risques de ré‑identification et d’inférence, pratiques de réduction du risque. Éditeur : NIST.
Shokri et al., Membership Inference Attacks Against Machine Learning Models, IEEE S&P 2017 - formalisation et métriques des attaques d’appartenance.
Nasr, Shokri, Houmansadr, Comprehensive Privacy Analysis of Deep Learning, IEEE S&P 2019 - attaques et défenses applicables aux réseaux neuronaux profonds.
Raval, Machanavajjhala, Pan, What You Mark Is What You Get, NDSS 2017 - confidentialité et obfuscation vidéo face aux inférences.

Voir aussi

Retour au glossaire