Boko Haram contourne les filtres de tous les grands chatbots

Boko Haram contourne les filtres de tous les grands chatbots

L’essentiel

  • Une étude du Cambridge Programme on AI Science & Policy documente l’usage de ChatGPT, Claude, Gemini, Grok, Meta AI et DeepSeek par les deux factions de Boko Haram.
  • La chercheuse Antonia Jülich s’appuie sur 57 entretiens menés auprès de 27 anciens membres du groupe, entraînés au contournement des filtres depuis 2023.
  • Le fait marquant n’est pas le nombre d’attaques, mais la défaillance : les garde-fous des six modèles grand public ont tous été franchis.
  • Anthropic reconnaît que les jailbreaks (contournements de garde-fous) ne seront probablement jamais totalement éliminés.

Une salle, des combattants réunis autour d’un vidéoprojecteur. À l’écran, ni carte d’état-major ni plan d’assaut : un chatbot, et la démonstration en direct de la manière de le faire parler. La scène est rapportée par un ancien membre de Boko Haram à la chercheuse Antonia Jülich, qui l’a reconstituée à partir de 57 entretiens avec 27 anciens du groupe pour le Cambridge Programme on AI Science & Policy.

De ce travail, un chiffre mérite qu’on s’y arrête plus que les autres. Pas le décompte macabre des opérations : le nombre de modèles dont les protections ont tenu face à des utilisateurs déterminés. Ce nombre est zéro.

Un vidéoprojecteur, un chatbot, une salle de formation

Les deux factions du groupe nigérian se sont dotées d’unités dédiées à l’intelligence artificielle. Selon l’étude, des agents de liaison venus de l’organisation État islamique forment depuis 2023 des cadres au « prompt engineering » (l’art de formuler les requêtes) et au jailbreak, c’est-à-dire à la rédaction d’instructions qui font sauter les garde-fous d’un modèle. La formation se fait à l’ancienne : on rassemble les meilleurs éléments dans une pièce et on projette la méthode au tableau.

L’usage décrit reste, pour l’essentiel, conventionnel : planification d’attaques, fabrication d’engins explosifs plus puissants, entretien des armes, sécurité opérationnelle. Rien qui relève de l’arme de destruction massive. Mais chaque tâche a un point commun : elle est passée par des outils que leurs éditeurs présentent comme sécurisés par conception.

Six modèles, aucun filtre qui tienne

Six assistants grand public sont visés nommément : ChatGPT, Claude, Gemini, Grok, Meta AI et DeepSeek. Six éditeurs, six politiques de sécurité, six équipes de « red teaming » (simulations d’attaques adverses) censées anticiper les usages malveillants. Résultat mesuré par l’étude : les filtres n’ont pas empêché l’abus de façon fiable, sur aucun d’entre eux.

Ce zéro sur six clôt un vieux débat. Ces modèles ne sont pas plus mal protégés que la moyenne ; simplement, la protection telle qu’elle existe aujourd’hui cède devant un utilisateur entraîné et patient. La promesse d’une « sécurité by-design », martelée à chaque lancement, se révèle largement théorique dès qu’on la confronte à un adversaire réel plutôt qu’à un banc de test.

Les laboratoires eux-mêmes n’en font plus mystère. OpenAI comme Anthropic préviennent de longue date qu’un modèle rend un savoir dangereux plus facile à trouver. Anthropic est allé plus loin récemment en admettant que les jailbreaks ne seront sans doute jamais complètement éliminés. Autrement dit : l’écart entre le discours commercial et la réalité technique n’est pas un accident, c’est une propriété du produit.

Dix-huit morts pour un saut de moto vu dans un film

Un épisode résume la valeur réelle de ces outils pour le groupe. La faction ISWAP (la branche ouest-africaine de l’État islamique) a demandé à une IA de reproduire une technique de saut de moto vue dans un film, pour permettre à ses combattants de franchir des tranchées. À l’entraînement, dix-huit hommes sont morts. Huit ont réussi le saut.

Ce ratio dit tout de la nature du service rendu. Le modèle n’a inventé aucune manœuvre. Il a restitué, réagencé et rendu accessible un savoir qui existait déjà, jusque dans un long-métrage. C’est précisément le constat des chercheurs : les chatbots généralistes concentrent l’attention publique, mais ils facilitent surtout l’accès à des connaissances existantes, ils n’en produisent pas de nouvelles. Le bilan spectaculaire, ici, dit moins une capacité de l’IA que la brutalité d’un apprentissage par imitation mal maîtrisé.

Les IA scientifiques, un tout autre ordre de grandeur

D’où l’intérêt de remettre le sujet à sa place. Tant que l’usage reste conventionnel, l’apport de l’IA est réel mais borné : elle abaisse le coût d’entrée à des savoirs disponibles, pas plus. Le point de vigilance est ailleurs. Jülich note que d’anciens membres ont exprimé un fort enthousiasme pour ces outils et que le groupe a, par le passé, envisagé des armes de tuerie de masse. Le risque à prendre au sérieux, ce sont les systèmes spécialisés dans les sciences du vivant, capables d’aider sur des voies chimiques ou biologiques.

Là, l’ordre de grandeur change. Un chatbot qui résume une méthode connue et un modèle scientifique qui aide à franchir une étape de synthèse ne jouent pas dans la même catégorie de danger. Concentrer la surveillance et la régulation sur les assistants que tout le monde regarde, c’est éclairer la scène pendant que l’essentiel se joue en coulisses.

Mon avis

Exiger des chatbots des filtres inviolables, c’est se battre sur le mauvais terrain. Un modèle de langue restitue ce que l’humanité a déjà écrit : tant qu’un savoir existe quelque part, un contournement finira par le rendre accessible, et je crédite Anthropic d’avoir le courage de le dire tout haut. Ce que j’attends maintenant, c’est qu’on cesse de vendre une « sécurité by-design » qui n’a jamais tenu à l’épreuve, et qu’on redirige l’argent du contrôle vers les IA spécialisées du vivant, où le danger est réellement nouveau, plutôt que vers le chatbot que six éditeurs surveillent déjà en vain.

Sources

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *