Qu'est-ce qu'une attaque "Whisper Leak" ?
Imaginez une pièce forte, parfaitement blindée et sécurisée. Vos conversations avec une IA comme ChatGPT sont à l'intérieur, protégées par un chiffrement incassable. Mais que se passerait-il si un espion pouvait deviner ce que vous dites... simplement en écoutant les vibrations des murs ? C'est exactement ce que permet l'attaque "Whisper Leak", découverte par Microsoft. Elle ne casse pas le chiffrement, mais elle exploite des "fuites" subtiles pour deviner le sujet de vos échanges. Pas de panique, on vous explique tout ça simplement.
Whisper Leak : l'espion qui écoute les murs
Pour faire simple, Whisper Leak est une attaque qui vise les intelligences artificielles conversationnelles (les LLM). Au lieu de forcer la serrure du coffre-fort (le chiffrement), l'attaquant se comporte comme un espion qui analyserait les sons et les vibrations pour deviner ce qui se passe à l'intérieur.
Dans le monde du web, ces "vibrations" sont des informations publiques : la taille des paquets de données et le temps qui s'écoule entre chaque paquet. En analysant ces métadonnées, l'attaque peut reconstruire le thème général de votre conversation avec l'IA. C'est ce qu'on appelle une attaque par canal auxiliaire (side-channel attack).
Comment l'attaque parvient-elle à ses fins ?
Le processus est assez malin et se déroule en plusieurs étapes :
1. L'observation : L'attaquant se place sur un point où il peut voir le trafic réseau qui passe, par exemple sur un Wi-Fi public ou en tant que fournisseur d'accès internet.
2. La collecte d'indices : Quand vous discutez avec une IA, elle vous répond souvent en "streaming" (les mots apparaissent un par un). Chaque "morceau" de réponse (appelé "token") est envoyé dans un paquet de données. L'attaquant note la taille de chaque paquet et le temps entre chacun.
3. L'analyse des patterns : Certains sujets génèrent des réponses avec des mots de longueurs très spécifiques. Par exemple, une question sur le "blanchiment d'argent" déclenchera probablement des réponses avec des termes techniques et longs. Une question sur la météo aura des mots plus courts et répétitifs. Ces schémas créent une sorte de "signature" unique.
4. La déduction par l'IA : L'attaquant entraîne une autre IA à reconnaître ces signatures. Elle peut alors comparer les "signatures" qu'elle observe à sa base de connaissances et deviner si vous parlez d'un sujet sensible ou non.
{img:whisper_leak_attack_diagram}
Mais pourquoi le chiffrement ne protège pas ?
C'est là que l'analogie de l'enveloppe est parfaite. Le chiffrement (HTTPS/TLS) transforme votre message en un code illisible, c'est comme sceller une lettre dans une enveloppe opaque. Personne ne peut lire le contenu. Cependant, cette enveloppe ne cache pas si la lettre est une simple carte postale ou un gros dossier de 50 pages. On voit toujours l'épaisseur !
De la même manière, le chiffrement cache le contenu des paquets, mais pas leur taille. Whisper Leak exploite cette "fuite" d'information, qui est une conséquence inévitable du fonctionnement d'internet.
Quels sont les risques concrets pour vous ?
Les tests de Microsoft sont impressionnants et un peu inquiétants. L'attaque permet de deviner le sujet d'une conversation avec une précision souvent supérieure à 98%. Elle a fonctionné sur de nombreux modèles d'IA (OpenAI, Microsoft, Mistral, etc.).
Le risque principal est une atteinte à votre vie privée. Si vous êtes sur un réseau surveillé (par un gouvernement répressif, un employeur, ou un pirate sur un Wi-Fi public), cette personne pourrait savoir si vous cherchez des informations sur la santé, des sujets politiques, des conseils juridiques ou financiers. Même si elle ne sait pas exactement ce que vous demandez, connaître le thème est déjà une intrusion majeure.
Les solutions mises en place par les géants de la tech
Heureusement, la communauté de la cybersécurité a réagi vite. Après l'alerte de Microsoft, plusieurs fournisseurs ont déjà déployé des correctifs pour brouiller les pistes. Voici un résumé des actions menées :
| Fournisseur | Solution appliquée |
|---|---|
| OpenAI, Microsoft Azure, Mistral | Ajout de texte aléatoire à chaque réponse pour masquer la vraie taille des paquets (un peu comme mettre la lettre dans une pochette rembourrée de façon aléatoire). |
| Google, Amazon | Leurs systèmes étaient déjà un peu plus résistants, probablement car ils envoient les données par "paquets" plus gros, ce qui rend l'analyse plus difficile. |
Les techniques de protection générales
Au-delà des correctifs des fournisseurs, les chercheurs identifient plusieurs stratégies pour rendre ce type d'attaque plus difficile :
- Le remplissage aléatoire (Random Padding) : Forcer tous les paquets à avoir une taille standard pour qu'ils se ressemblent tous.
- L'envoi groupé (Token Batching) : Envoyer les mots par groupes plutôt que un par un pour créer des paquets plus grands et moins prévisibles.
- L'injection de paquets : Envoyer de faux paquets vides pour brouiller complètement le timing.
En pratique, une combinaison de ces techniques est la plus efficace.
Comment vous protéger concrètement ?
Bonnes nouvelles : vous pouvez aussi agir à votre niveau pour réduire les risques. Voici quelques gestes simples :
- Utilisez un VPN : C'est comme prendre un tunnel privé et sécurisé pour votre trafic internet. Votre FAI ou un espion sur le réseau local ne pourra plus "voir" la forme de vos paquets.
- Évitez les sujets ultra-sensibles sur les réseaux publics (Wi-Fi de café, aéroport...). Attendez d'être sur un réseau de confiance.
- Vérifiez les options de votre IA : Certaines interfaces permettent de désactiver le mode "streaming" (réponse en continu). Si c'est possible, utilisez-le, car cela rend l'attaque beaucoup plus difficile.
- Choisissez des fournisseurs sérieux : Privilégiez les services qui communiquent transparent sur leur sécurité et qui ont appliqué des correctifs contre Whisper Leak.
Sources
- Whisper Leak: a side-channel attack on Large Language Models - arXiv : Le rapport de recherche scientifique à l'origine de la découverte.
- Microsoft Uncovers 'Whisper Leak' Attack - The Hacker News : Une explication claire de l'attaque et de ses implications par la presse spécialisée.
- 'Whisper Leak' LLM Side-Channel Attack - SecurityWeek : Une analyse technique détaillée pour ceux qui veulent aller plus loin.
Qu'est-ce que l'attaque Whisper Leak en termes simples ?
C'est une attaque qui permet de deviner le sujet de votre conversation avec une IA (comme ChatGPT) en analysant la taille et le rythme des données échangées, et ce, même si la conversation est chiffrée.
Mon conversation avec l'IA est-elle toujours privée ?
Le contenu de votre conversation reste privé et illisible pour les espions. Whisper Leak ne révèle que le thème général, pas les phrases exactes. Cependant, cela représente tout de même une atteinte à la confidentialité.
Comment savoir si mon service d'IA est protégé contre Whisper Leak ?
Les grands fournisseurs comme OpenAI, Microsoft et Mistral ont déjà déployé des protections. Le mieux est de consulter leur blog de sécurité ou leurs notes de mises à jour pour voir s'ils ont communiqué sur le sujet.
Un VPN protège-t-il efficacement contre Whisper Leak ?
Oui, un VPN est l'une des protections les plus efficaces pour un utilisateur. En masquant votre trafic à votre fournisseur d'accès et aux observateurs sur le réseau local, il empêche l'attaquant de collecter les métadonnées nécessaires à l'attaque.
Faut-il arrêter d'utiliser les IA à cause de cette attaque ?
Non, il ne faut pas paniquer. L'attaque nécessite une position d'observation spécifique et des correctifs sont déjà en place. Il faut simplement être conscient du risque et adopter les bonnes pratiques, surtout sur les réseaux non fiables.
