Filigranage
Le filigranage du contenu IA : le point de vue de l'ingénierie
Le filigranage du contenu IA insère un signal imperceptible et détectable par machine dans le contenu au moment de la génération, afin qu’un détecteur jumelé puisse plus tard établir que le contenu provient d’un système d’IA. La méthode diffère selon la modalité : les filigranes de texte biaisent les jetons que le modèle échantillonne, les filigranes d’image et de vidéo façonnent les pixels ou les représentations latentes, et les filigranes audio modifient la forme d’onde sous ce que l’humain peut entendre. La raison pour laquelle la plupart des équipes d’ingénierie s’y intéressent maintenant est réglementaire : l’Article 50 de la Loi européenne sur l’IA exige que les fournisseurs de systèmes d’IA générative veillent à ce que les sorties soient « marquées dans un format lisible par machine et détectables comme générées ou manipulées artificiellement », l’obligation s’appliquant à partir du 2 août 2026.
Cette page est l’aperçu technique : ce qu’est réellement un filigrane, comment les techniques diffèrent entre le texte, l’image, l’audio et la vidéo, à quoi ressemble un pipeline de bout en bout en production, et comment décider entre construire ou acheter.
Ce qu’est un filigrane IA (et ce qu’il n’est pas)
Un filigrane génératif est un signal délibérément introduit dans le contenu par le système qui l’a produit. Trois propriétés définissent un filigrane utile :
- Imperceptible. Un humain qui consomme le contenu ne devrait remarquer aucune dégradation de qualité. L’expérience en direct de Google DeepMind avec SynthID-Text sur environ 20 millions de réponses Gemini, publiée dans Nature, n’a trouvé aucune différence statistiquement significative dans les commentaires des utilisateurs entre les réponses filigranées et non filigranées.
- Détectable. Un détecteur détenant la bonne clé ou le bon modèle peut évaluer le contenu et rendre une décision (filigrané, non filigrané ou incertain) avec un taux de faux positifs contrôlé.
- Suffisamment robuste. Le signal devrait survivre aux transformations que le contenu subit normalement en distribution : compression, redimensionnement, conversion de format, retouches légères. Aucun filigrane ne survit à tout, un point couvert en profondeur dans robustesse des filigranes et attaques.
Deux choses qu’un filigrane n’est pas. Ce n’est pas un détecteur de contenu IA arbitraire : un détecteur de filigrane ne reconnaît que le contenu marqué par un intégrateur compatible, il ne dit donc rien des sorties de modèles qui n’ont jamais filigrané. Et ce ne sont pas des métadonnées de provenance : des normes comme les C2PA Content Credentials attachent des métadonnées signées au fichier, ce qui est cryptographiquement solide mais disparaît dès que quelqu’un fait une capture d’écran ou réencode l’actif. Les filigranes vivent à l’intérieur du signal lui-même. Les architectures matures utilisent les deux, et le compromis est couvert dans C2PA vs filigranage et détection vs provenance.
Comment le filigranage fonctionne, modalité par modalité
Texte : biaiser l’échantillonnage des jetons
Un modèle de langage produit une distribution de probabilité sur son vocabulaire à chaque étape, puis échantillonne un jeton. Le filigranage de texte intervient dans cette étape d’échantillonnage. Le schéma fondateur de Kirchenbauer et coll., « A Watermark for Large Language Models » (ICML 2023), partitionne le vocabulaire en une « liste verte » et une « liste rouge » pseudo-aléatoires avant la génération de chaque jeton, puis favorise doucement les jetons verts. Le texte filigrané finit statistiquement plus vert que le hasard, et un détecteur capable de recalculer les listes exécute un test statistique avec une valeur p interprétable, sans avoir besoin du modèle lui-même.
Le schéma de production de Google, SynthID-Text, raffine cela avec l’échantillonnage par tournoi : les jetons candidats s’affrontent à travers des rondes de fonctions de notation pseudo-aléatoires, intégrant la signature tout en préservant la qualité de sortie, comme décrit dans l’article de Nature. Il est livré comme processeur de logits en source ouverte dans Hugging Face Transformers, ce qui compte pour la décision construire ou acheter ci-dessous. Tous les détails sont dans SynthID expliqué.
La contrainte structurelle de tout filigranage de texte : il a besoin d’entropie. Si la distribution du modèle est presque déterministe (code, réponses factuelles courtes, texte standard), il y a peu de liberté d’échantillonnage où cacher un signal, et la confiance de détection chute sur les passages courts ou à faible entropie.
Images : filigranes de pixels, de décodeur et de processus d’échantillonnage
Le filigranage d’images compte trois familles architecturales :
- Filigranes a posteriori dans le domaine des pixels. Un réseau encodeur distinct ajoute un motif de faible amplitude à l’image finie, et un décodeur jumelé l’extrait. Simple à greffer sur n’importe quel générateur, mais les marques au niveau des pixels sont les plus exposées au retrait : Zhao et coll. ont montré à NeurIPS 2024 que les attaques par régénération (ajouter du bruit, puis reconstruire avec un modèle de diffusion) retirent cette classe de filigrane de façon fiable.
- Filigranes intégrés au décodeur. Stable Signature de Meta (ICCV 2023) ajuste finement le décodeur latent d’un modèle de diffusion pour que chaque image générée porte une signature binaire. L’extraction rapportée survit à des retouches agressives, y compris la détection de l’origine avec plus de 90 pour cent de précision après recadrage de l’image à 10 pour cent de son contenu, à un taux de faux positifs inférieur à un sur un million. Parce que le filigrane est intégré dans les poids du modèle, il n’existe aucune variante non filigranée à intercepter.
- Filigranes du processus d’échantillonnage. Le filigranage Tree-Ring intègre un motif dans le vecteur de bruit initial du processus de diffusion, influençant la génération elle-même plutôt que de retoucher la sortie. Ces marques de niveau sémantique sont précisément la défense alternative que pointent les auteurs de l’attaque par régénération.
Audio : un signal sous le seuil d’audition
Les filigranes audio intègrent une structure dans la forme d’onde ou le spectrogramme à des amplitudes et fréquences que l’audition humaine écarte. SynthID de Google marque les sorties musicales de Lyria avec un filigrane inaudible à l’oreille humaine. La famille en source ouverte Meta Seal de Meta inclut un filigranage audio localisé avec détection au niveau de l’échantillon, capable de signaler quel segment d’un clip est synthétique plutôt que d’émettre un verdict unique pour tout le fichier : pertinent quand de la parole IA est insérée dans des enregistrements réels.
Vidéo : des images plus le temps
Le filigranage vidéo étend les techniques d’image à travers les trames, avec une propagation temporelle pour que la marque survive aux changements de cadence, au réencodage et au découpage. Google applique SynthID aux sorties de Veo, conçu pour rester détectable à travers le recadrage, les filtres, les changements de cadence et la compression avec perte, selon l’annonce de DeepMind. Le défi d’ingénierie est le coût : marquer chaque trame d’une vidéo haute résolution au moment de la génération ajoute un calcul réel, ce qui explique pourquoi le filigranage appartient à l’intérieur du service de génération, pas comme une réflexion après coup en post-traitement.
Tableau récapitulatif
| Modalité | Où vit le signal | Schémas représentatifs | Mode d’échec typique |
|---|---|---|---|
| Texte | Statistiques d’échantillonnage des jetons | Liste verte de Kirchenbauer, SynthID-Text | Paraphrase, traduction, sortie à faible entropie |
| Image | Pixels, poids du décodeur ou bruit initial | Encodeurs a posteriori, Stable Signature, Tree-Ring | Attaques par régénération sur les marques au niveau des pixels |
| Audio | Forme d’onde sous le seuil d’audition | SynthID audio, Meta Seal (localisé) | Réencodage lourd, étirement temporel |
| Vidéo | Par trame plus propagation temporelle | SynthID pour Veo, VideoSeal | Pipelines agressifs de réencodage plus recadrage |
Le pipeline de bout en bout : intégrer à la génération, détecter plus tard
Voici à quoi ressemble un vrai système de filigranage en production, en prose plutôt qu’en diagramme de fournisseur.
Côté génération. Chaque point de terminaison de modèle qui produit du contenu passe par une couche de filigranage avant de retourner la sortie. Pour le texte, c’est un processeur de logits chiffré avec une clé de filigranage secrète, inséré dans la boucle d’échantillonnage après les filtrages top-k et top-p. Pour les images et la vidéo, c’est soit un décodeur finement ajusté qui ne peut pas produire de sortie non marquée, soit un module de filigrane appliqué à l’intérieur du service de génération avant que l’actif ne le quitte. Le matériel de clés est le joyau de la couronne : quiconque détient la clé peut détecter (et, pour certains schémas, usurper), donc les clés vivent dans un KMS, sont pivotées selon un calendrier, et les identifiants de clés sont journalisés avec chaque événement de génération. Cette entrée de journal (hachage de l’actif, version du modèle, identifiant de clé, horodatage) devient votre piste d’audit, et c’est aussi l’endroit naturel où émettre un manifeste C2PA si vous exploitez les deux systèmes.
Côté distribution. Le contenu circule par vos canaux habituels : CDN, téléchargements des utilisateurs, plateformes tierces. Vous devriez supposer que chaque transformation sur ce chemin (création de vignettes, transcodage, recompression par les plateformes) est un test de robustesse que votre filigrane réussit ou échoue. Testez votre pipeline de distribution réel, pas la suite de référence du fournisseur.
Côté détection. La détection est un service : contenu en entrée, score en sortie. Pour le texte, le détecteur recalcule les fonctions pseudo-aléatoires sous votre clé et exécute un test statistique; la version en source ouverte de SynthID-Text inclut un détecteur bayésien avec trois états de sortie (filigrané, non filigrané, incertain) et des seuils réglables pour que vous fixiez vos propres taux de faux positifs et de faux négatifs. Pour les médias, le détecteur est un extracteur neuronal jumelé à votre intégrateur. Opérationnellement, le détecteur se trouve derrière une API interne utilisée par les outils de confiance et sécurité, les rapports de conformité et, le cas échéant, la vérification destinée aux clients. Décidez d’entrée de jeu qui peut l’appeler : un point de terminaison de détection public donne aux attaquants un oracle contre lequel itérer, ce qui affaiblit mesurablement la robustesse.
La gouvernance autour des deux. La réglementation s’intéresse à la boucle entière. L’Article 50(2) exige que les solutions de marquage soient « effectives, interopérables, robustes et fiables dans la mesure où cela est techniquement possible », ce qui en pratique signifie qu’il vous faut des preuves documentées : quelles sorties sont marquées, avec quel schéma, testées contre quelles transformations, avec quels taux de détection. Ce fardeau documentaire représente souvent plus de travail que l’intégration de l’insertion elle-même. La correspondance de conformité est couverte dans les exigences de filigranage de la Loi européenne sur l’IA.
Construire ou acheter
Appuyez-vous sur les filigranes des plateformes quand vous consommez des modèles hébergés. Si votre produit génère du contenu via Gemini, Imagen, Veo ou Lyria, Google intègre déjà SynthID, avec plus de 10 milliards de contenus filigranés selon l’annonce de Google du portail SynthID Detector. Votre travail est alors la vérification et la documentation, pas l’insertion : confirmez que le marquage existe pour votre schéma d’utilisation, et consignez-le dans votre dossier de conformité.
Intégrez des schémas en source ouverte quand vous hébergez vous-même les modèles. Si vous exploitez vos propres grands modèles de langage, SynthID-Text est disponible dans Hugging Face Transformers comme processeur de logits au moment de la génération, sans réentraînement requis. Pour les images, l’audio et la vidéo, la famille Meta Seal de Meta et Stable Signature offrent des implémentations ouvertes. Le vrai coût n’est pas l’algorithme : c’est la gestion des clés, l’hébergement du détecteur, l’étalonnage des seuils contre votre budget de faux positifs, les tests de robustesse contre votre pipeline de distribution, et les tests de régression chaque fois que vous changez de version de modèle.
Ne construisez du sur mesure qu’aux marges. Les schémas personnalisés ont du sens quand votre modalité ou votre modèle de menace est inhabituel (documents structurés, actifs 3D, utilisateurs adverses avec accès au détecteur) ou quand vous avez besoin de charges utiles multi-bits (encoder quel client ou quelle session a généré l’actif, pas seulement « fait par IA »). Autrement, vous redérivez des travaux publiés avec moins de réviseurs.
Une question déterminante utile pour la décision : qui doit détecter votre filigrane? Si vous seul, un schéma propriétaire à clé convient. Si des régulateurs, des plateformes ou des clients doivent vérifier indépendamment, il vous faut soit un arrangement de détecteur partagé, soit une couche fondée sur des normes comme C2PA par-dessus, parce que le langage d’interopérabilité de l’Article 50 s’éloigne avec le temps des schémas purement privés.
Où aller ensuite dans ce pilier
Pour l’implémentation unique la plus approfondie à étudier, lisez SynthID expliqué. Pour le choix entre les marques que les utilisateurs peuvent voir et celles que seules les machines peuvent trouver, lisez filigranes invisibles vs visibles. Et avant de vous engager envers un schéma, lisez robustesse des filigranes et attaques pour comprendre ce qu’un adversaire motivé peut réellement retirer.
Webisoft conçoit et construit des pipelines de filigranage et de provenance pour les équipes qui ont besoin que cela fonctionne, et soit documenté, avant l’échéance de l’Article 50.