L'apprentissage automatique est un moyen puissant d'acquérir des connaissances à partir de données et d'identifier des relations entre des variables permettant de prédire des résultats futurs. L’apprentissage profond, en particulier, s’est révélé être capable de découvrir des structures dans des données complexes. Dans de nombreuses applications du monde réel, les données utilisées pour l'apprentissage comprennent des informations potentiellement sensibles, qui doivent rester confidentielles. Cependant, une fois l’apprentissage terminé, le logiciel est généralement mis à la disposition d’un tiers, soit directement soit indirectement, en permettant de l’interroger. Cet accès peut être utilisé pour extraire des informations sensibles sur les données d'apprentissage, qui sont toujours présentes, bien que cachées dans les paramètres déterminants le modèle traité. Cela soulève la question fondamentale de la quantité d'information qu'un attaquant peut extraire d'un réseau neuronal.

L’objectif général du projet est de développer une compréhension fondamentale avec une validation expérimentale de la fuite d’information des données d’apprentissage à partir des réseaux d’apprentissage profonds.

Le projet est porté par Pablo Piantanida, professeur à CentraleSupélec, et Catuscia Palamidessi, directrice de recherche chez Inria. Avec la collaboration de Georg Pichler (post-doc TU Wien), Marco Romanelli et Ganesh del Grosso (doctorants chez Inria), ils visent à :

• Analyser les attaques contre la vie privée dans les systèmes d’apprentissage. En particulier, les attaques par "model inversion", les attaques "attribute inference" et les attaques "membership inference".

• Sur la base des attaques considérées, développer des mesures appropriées pour quantifier la quantité d’information sensible qui peut être extraite d'un réseau neuronal. Les mesures de fuite d'information résultantes serviront de base à l'analyse formelle des attaques et au développement de techniques de protection robustes.

• Explorer des stratégies pour réduire les menaces à la vie privée et minimiser la fuite potentielle d'informations d'un réseau neuronal tout en préservant son utilité autant que possible. Stratégies de formation appropriées ainsi que des critères adaptés pour l'architecture seront aussi explorées.

« Nous proposons une analyse de modèles d’apprentissage automatique afin de détecter les attaques possibles et de quantifier les fuites d’informations. Nous allons utiliser les résultats récents sur les attaques à l'apprentissage profond, pour lesquels aucun outil ni technique standard n’est encore disponible. Notre objectif est à la fois de développer ces outils et de les utiliser pour analyser des modèles de menace de type boîte blanche ou noire. » précise Pablo.

Contacts : Pablo Piantanida | Catuscia Palamidessi