Empoisonner les données d'une IA est-il un crime ou un acte de résistance légitime face au pillage numérique des créateurs ? Glaze, Nightshade, LightShed ou le jeu du chat et de la souris algorithmique

Empoisonner les données d'une IA est-il un crime ou un acte de résistance légitime face au pillage numérique des créateurs ?
Glaze, Nightshade, LightShed ou le jeu du chat et de la souris qui révèle les failles du droit d'auteur à l'ère de l'IA générative

Alors que les géants de la tech aspirent massivement les œuvres en ligne pour entraîner leurs modèles d'IA sans consentement ni rémunération, une contre-offensive technique s'organise dans les communautés d'artistes et de développeurs. Des outils comme Nightshade ou Glaze permettent de « contaminer » les données d'entraînement pour rendre les modèles défaillants. Acte de sabotage illégal ou forme moderne de désobéissance civile ? La question divise juristes, philosophes et ingénieurs.

L'équation est simple dans son injustice : des entreprises valant des centaines de milliards de dollars entraînent leurs modèles génératifs sur des milliards d'images, de textes et de lignes de code récupérés sur le web, souvent sans demander la permission des auteurs, sans les rémunérer et en contournant allègrement les directives robots.txt censées signaler les contenus non soumis à la collecte automatisée. Face à cette situation, et dans l'attente d'un cadre juridique qui tarde à se matérialiser, une frange croissante de créateurs a décidé de ne plus attendre et de riposter par les mêmes moyens : les données elles-mêmes.

Des chercheurs ont développé plusieurs outils d'empoisonnement des données qui exploitent les vulnérabilités des modèles d'IA. Glaze et Nightshade permettent aux artistes de produire des images visuellement altérées qui ne peuvent pas être utilisées comme données d'entraînement. L'outil CoProtector, lui, protège les dépôts de code open source comme GitHub contre leur exploitation. Quant à Silverer, développé par l'Université Monash et la Police fédérale australienne, il permet aux utilisateurs de réseaux sociaux de modifier leurs images personnelles pour éviter qu'elles ne servent à créer des hypertrucages (deepfakes).

Glaze et Nightshade sont les deux outils les plus emblématiques de cette résistance numérique. Tous deux ont été développés par une équipe de l'Université de Chicago, conduite par le professeur Ben Zhao, à partir de 2022, après que des artistes ont contacté le laboratoire pour chercher des solutions techniques face au pillage de leur production créative.


Glaze défend, Nightshade attaque

Ces deux programmes modifient les pixels d'une image de manière subtile et systématique, d'une façon imperceptible pour l'œil humain mais déconcertante pour un modèle d'IA. Comme des illusions d'optique qui trompent la vision humaine, de minuscules retouches visuelles peuvent entièrement changer la manière dont l'IA perçoit une image.

Glaze est un outil défensif que les artistes individuels peuvent utiliser pour se protéger contre les attaques par imitation de style, tandis que Nightshade est un outil offensif que les artistes peuvent utiliser collectivement pour perturber les modèles qui aspirent leurs images sans consentement. Nightshade transforme les images en échantillons « empoisonnés », de sorte que les modèles entraînés sur ces données sans autorisation apprennent des comportements imprévisibles s'écartant des normes attendues; par exemple, une requête demandant une vache volant dans l'espace pourrait générer un sac à main flottant dans le cosmos.

Concrètement, Glaze fait croire au modèle qu'un dessin photoréaliste est de l'art abstrait moderne, neutralisant ainsi la capacité du modèle à mémoriser et reproduire un style donné. Nightshade va plus loin : il corrompt activement le processus d'apprentissage, en associant le style d'un artiste à des concepts sans aucun rapport. Les données empoisonnées sont très difficiles à retirer, car elles obligent les entreprises technologiques à identifier et supprimer laborieusement chaque échantillon corrompu.

L'adoption a été massive : Glaze et Nightshade ont été téléchargés près de neuf millions de fois au total. Nightshade est également passé en open source, ce qui a permis à d'autres équipes de s'en emparer pour en développer leurs propres variantes.


Une pratique ancienne, un contexte nouveau

Le recadrage philosophique de ces pratiques est peut-être ce qui rend le débat le plus saisissant. Certains estiment que l'empoisonnement des données n'est pas simplement un acte immoral de cybercriminalité. Si les entreprises d'IA opèrent avec l'aval des États d'une manière qui porte atteinte aux droits des citoyens en matière de vie privée, de droits d'auteur, de sécurité au travail et d'éducation de qualité, cette pratique pourrait constituer une forme éthique de désobéissance civile.

L'analogie avec les luttes sociales historiques est directe. Rosa Parks refusant de céder sa place dans un bus, des travailleurs hôteliers mettant du sel dans les sucriers, des ouvriers agricoles sabotant des machines : l'empoisonnement des données peut être vu comme une version moderne de ces actions historiques. Le philosophe John Rawls lui-même, cité dans l'analyse, reconnaissait que la désobéissance civile peut être justifiée lorsque des pratiques légalement sanctionnées produisent de graves injustices.

Il ne faut d'ailleurs pas de compétences techniques avancées pour participer à cette forme de résistance diffuse. Créer des sites web avec des informations fictives, publier des plaisanteries sur Reddit, nourrir les modèles avec leurs propres résultats ou modifier Wikipedia peuvent tout aussi bien empoisonner les données. La désobéissance numérique prend ainsi des formes qui vont du geste d'un seul artiste protégeant scrupuleusement chacune de ses œuvres jusqu'à des actions collectives coordonnées à grande échelle.

La course aux armements numériques

Mais comme dans tout conflit asymétrique où une partie dispose de ressources infiniment supérieures, la riposte ne s'est pas fait attendre. En 2025, des chercheurs des universités de Cambridge, de Darmstadt et du Texas à San Antonio ont présenté au symposium USENIX Security un outil baptisé LightShed, capable de déjouer les protections mises en place par Glaze et Nightshade.

LightShed peut détecter, rétro-concevoir et supprimer ces distorsions, neutralisant ainsi les poisons et rendant les images à nouveau exploitables pour l'entraînement de modèles d'IA génératifs. University of Cambridge Les résultats sont éloquents : lors d'évaluations expérimentales, LightShed a détecté avec 99,98 % de précision les images protégées par Nightshade et en a efficacement supprimé les protections.

Plus préoccupant encore, LightShed peut même transposer ce qu'il a appris d'un outil anti-IA, disons Nightshade, à d'autres outils comme Mist ou MetaCloak, sans les avoir jamais rencontrés au préalable. L'adaptabilité de l'outil lui confère une polyvalence redoutable. Ses créateurs tiennent toutefois à préciser qu'il ne s'agit pas d'une arme mise à la disposition de l'industrie, mais d'une alerte destinée à pousser la communauté à développer des défenses plus robustes. Comme l'explique Hanna Foerster, doctorante à l'Université de Cambridge et première auteure de la publication : « Vous ne pourrez jamais être certain que les entreprises ne disposent pas de méthodes pour neutraliser ces poisons sans jamais vous en informer. »

La publication de LightShed illustre un paradoxe inhérent à la recherche en sécurité offensive : exposer une vulnérabilité permet certes de la corriger, mais rend aussi la technique accessible à des acteurs malveillants ou simplement sans scrupules.


Un droit en retard sur la technique

Pendant que cette course aux armements algorithmiques se poursuit, le droit peine à rattraper son retard. Les procès se multiplient : d'ici 2024, la prolifération des modèles d'IA générative avait déjà engendré plus d'une trentaine de plaintes pour violation de droits d'auteur déposées par des ayants droit contre des développeurs d'IA. En juin 2025, Disney et NBCUniversal ont escaladé la guerre juridique en attaquant Midjourney, alléguant que l'entreprise avait utilisé des personnages protégés (notamment Elsa, les Minions, Dark Vador et Homer Simpson) pour entraîner son modèle.

Les dispositifs d'exclusion proposés par les grandes plateformes (formulaires opt-out, directives robots.txt) sont largement perçus comme insuffisants. Comme le résume l'illustratrice Eva Toorenent, utilisatrice de Glaze : ces politiques d'exclusion obligent les artistes à franchir des obstacles administratifs tout en laissant aux entreprises technologiques l'intégralité du pouvoir. La charge de la preuve, le coût des procédures et la disproportion des moyens entre une artiste freelance et un laboratoire de recherche milliardaire rendent le recours juridique largement illusoire pour la majorité des créateurs concernés.

Du côté de la régulation, les initiatives législatives restent embryonnaires. Le Generative AI Copyright Disclosure Act, proposé au Congrès américain en 2024, envisageait d'imposer aux développeurs de modèles d'IA de divulguer les jeux de données utilisés pour l'entraînement, une mesure minimale, mais qui n'a pas encore abouti.

Jusqu'où va la légitimité du sabotage ?

La question philosophique posée par le thème ne peut toutefois se résoudre dans la seule rhétorique des droits bafoués. L'empoisonnement des données soulève des risques systémiques non négligeables. Même si les modèles venaient à être compromis (leurs résultats devenant incohérents, trompeurs ou absurdes), les utilisateurs leur font excessivement confiance. L'empoisonnement pourrait alors contribuer aux mêmes nuisances qu'il cherche à combattre, en amplifiant l'inexactitude de systèmes sur lesquels les humains s'appuient de plus en plus.

La distinction entre empoisonnement ciblé visant à protéger des droits identifiables et empoisonnement diffus ou malveillant visant à semer la confusion dans des systèmes d'infrastructure critique est donc cruciale. Un artiste qui protège ses propres œuvres avec Nightshade n'est pas équivalent à un acteur hostile qui injecte méthodiquement de fausses informations médicales dans des corpus destinés à l'entraînement de systèmes de santé.

Des outils de plus en plus techniquement complexes et synchronisés pourraient se révéler bien plus destructeurs que des groupes de trolls mal coordonnés ou des expériences de recherche contrôlées. L'escalade vers des formes d'empoisonnement massif et non discriminé porterait en elle des risques systémiques dont les victimes finales seraient souvent les utilisateurs ordinaires, et non les entreprises visées.

En définitive, l'enjeu n'est peut-être pas tant de trancher si l'empoisonnement des données est moralement légitime dans l'absolu, mais de s'interroger sur ce que son émergence révèle : les artistes ne cherchent pas nécessairement à détruire l'IA, mais à dégrader suffisamment la qualité de ses résultats pour préserver la valeur de la création humaine. Même une détérioration temporaire permettrait de gagner du temps pour obtenir de meilleures protections légales et développer de nouveaux modèles économiques pour les créateurs. Une stratégie de résistance qui, paradoxalement, révèle autant les failles des modèles techniques que les lacunes béantes du droit à l'ère de l'IA générative.

Sources : MIT, Université de Cambridge, Trust-Lightshed

Et vous ?

La frontière entre désobéissance civile numérique et cyberattaque est-elle traçable en droit, ou s'agit-il inévitablement d'une appréciation politique et contextuelle ?

Si des outils comme LightShed permettent aux entreprises de neutraliser silencieusement les protections des artistes, sans jamais le divulguer, cela constitue-t-il à son tour une forme de fraude ou de violation des droits ?

L'empoisonnement des données peut-il réellement changer le rapport de force entre artistes indépendants et géants de la tech, ou ne fait-il que retarder une domination inévitable ?

La pratique de nourrir les modèles avec leurs propres sorties, souvent sans intention délibérée, annonce-t-elle un effondrement progressif de la qualité des IA à long terme ?

Faut-il encadrer réglementairement la recherche en sécurité offensive sur les systèmes d'IA, au risque de freiner le développement de contre-mesures légitimes ?

Voir aussi :

Les modèles d'IA tels que ChatGPT, Gemini et Claude peuvent développer des vulnérabilités de type « porte dérobée » lorsque des documents corrompus sont insérés dans leurs données d'entraînement

Il est facile d'injecter de nouvelles informations médicales erronées dans les LLM, il suffit de modifier 0,001 % des données d'entrée pour rendre l'IA moins précise