Les mécanismes d’authentification SSO (Single Sign-On) de plusieurs grandes entreprises de la tech ont été détournés pour permettre les inscriptions sur des sites de type « nudify ». Les entreprises ont réagi, mais la facilité d’accès à ces services pose question au regard des dégâts qu’ils provoquent.

Les fakes de type pornographique existent depuis longtemps. Il était possible il y a déjà de nombreuses années, sur Photoshop ou autre, de coller le visage d’une personne sur le corps dénudé d’une autre.

Avec l’intelligence artificielle toutefois, cette activité a pris une tout autre dimension. Bien que les services associés – Stable Diffusion, Dall-E, Imagen, Midjourney… – aient tous des conditions limitant strictement les prompts, de nombreux modèles open source ont été détournés et spécialisés dans ce but. On peut trouver sans trop difficulté des sites proposant de « déshabiller » quelqu’un en se servant de toute la puissance de l’IA dans ce domaine, sans garde-fous.

Le petit monde du deepfake non-consensuel n’est plus si petit. Au point qu’un certain nombre de sites spécialisés dans cette activité sont allés jusqu’à intégrer sur leurs pages des boutons permettant de simplifier la procédure d’inscription, en se basant sur les mécanismes SSO des grands noms de la tech, dont Apple, Google et Discord.

Venez, c’est facile

Wired dit s’être livré à une analyse de 16 des « plus grands sites de déshabillage » et avoir trouvé des boutons Google, Apple, Discord, Twitter, Patreon et Line. Ces boutons sont très connus et permettent de s’inscrire rapidement à un site sans avoir à entrer une nouvelle fois ses informations. Le site établit un pont avec l’infrastructure d’authentification concernée et, après validation par l’internaute, récupère une partie des données. Si vous vous servez par exemple du compte Google pour accéder à un service tiers, l’authentification est validée par Google, sans avoir à récréer de nouveaux identifiants sur le site tiers.

Or, sur les 16 sites examinés, tous comportaient le bouton permettant de se connecter via Google. 13 d’entre eux intégraient le bouton Discord, 6 celui d’Apple, 3 le bouton X, 2 celui de Patreon et 2 le bouton de Line. Wired dit avoir contacté les entreprises concernées à ce sujet. Rapidement, les boutons ont été supprimés des sites de « déshabillage ».

Toutes ont rappelé bien sûr que les conditions d’utilisation de ces boutons étaient claires : interdiction formelle de s’en servir pour des sites, applications ou services en capacité de nuire à un tiers. Malgré tout, leur simplicité et leur souplesse d’usage font qu’il est presque impossible de vérifier a priori qui s’en sert, puisqu’il s’agit de simples API que l’on peut intégrer en quelques lignes de code sur un site. À noter que de toutes les entreprises ainsi contactées, seule X n’a pas répondu.

« Il ne s'agit pas d'innovation, mais d’agression sexuelle »

« Il s'agit de la poursuite d'une tendance qui normalise les violences sexuelles commises par les grandes entreprises technologiques à l'encontre des femmes et des jeunes filles. Les API de connexion sont des outils de commodité. Nous ne devrions jamais faire de la violence sexuelle un acte de commodité », a déclaré Adam Dodge, avocat et fondateur de EndTAB (Ending Technology-Enabled Abuse), à Wired.

Même si les entreprises concernées n’ont pas donné leur aval pour l’utilisation de leurs infrastructures d’authentification à de telles fins, la facilité avec laquelle on peut les intégrer pose ici problème. Utiliser un service déjà configuré pour en paramétrer un autre procure un important gain de temps. En revanche, cela ne fournit aucun avantage en matière d’anonymat, car ces mécanismes gardent la trace de tous les sites sur lesquels ils ont été utilisés. Notamment pour des questions de sécurité : il faut pouvoir, côté internaute, lister les services ainsi accédés et éventuellement révoquer ces accès. Or, faciliter l’accès à ces services, même de manière indirecte, accentue les dégâts qu’ils provoquent.

Ces services évoluent en outre continuellement. Comme des applications, ils se dotent en permanence de nouvelles fonctionnalités. L’un d’eux se vante par exemple de pouvoir récolter directement les photos depuis un compte Instagram et de pouvoir « personnaliser l’apparence du corps des femmes ».

Ces 16 sites font justement l’objet d’une action en justice, intentée le mois dernier par David Chiu, procureur de la ville de San Francisco. Wired ne les nomme d’ailleurs jamais, pour éviter toute forme de publicité. Dans la copie présentée de la plainte déposée le mois dernier à San Francisco, les noms sont caviardés pour les mêmes raisons.

L’avis du procureur est tranché : « Nous devons être clairs : il ne s'agit pas d'innovation, mais d'agression sexuelle. Ces sites se livrent à une exploitation horrible des femmes et des jeunes filles dans le monde entier. Ces images sont utilisées pour intimider, humilier et menacer les femmes et les jeunes filles ».

• Rumman Chowdhury : « il faut investir autant dans la protection des utilisateurs que dans le développement de l’IA »

Commodités et dégâts

Au début de l’année, l’avalanche de deepfakes pornographiques sur Taylor Swift a largement remis le sujet sur le devant de la scène. Sur X notamment, certaines images ont pu être vues des dizaines de millions de fois avant d’être supprimées par la modération. « Utiliser des images à caractère sexuel, y compris des montages, pour humilier des femmes, n’a rien de neuf. Le faire à l’aide de modèles génératifs non plus, même si cela prend une nouvelle ampleur depuis la sortie d’outils grand public très simples à utiliser », écrivions-nous alors.

Derrière ces sites, Wired pointe des entreprises « souvent dans l’ombre ». Très peu d’informations sont connues sur les propriétaires, qui possèdent parfois des réseaux de sites aux mêmes finalités, affirment nos confrères. Plusieurs de ces sites se ressemblent ainsi fortement et leurs conditions d’utilisation sont presque identiques.

L’objectif, en revanche, est clair : générer des profits. Ces services sont payants, plusieurs sites allant jusqu’à présenter des logos Mastercard et Visa. Si Visa n’a pas répondu aux sollicitations de Wired, Mastercard a affirmé que l'achat de contenu deepfake non consensuel n’était pas autorisé sur son réseau.

Et derrière ce juteux business, les atteintes s’accumulent. Les alertes se multiplient depuis 2017 et l’avènement des modèles génératifs, rapidement détournés. Depuis, la création de contenus sexuels non consentis a explosé, culminant actuellement avec les offres de déshabillage. En parallèle de ces services, des canaux de conversation se créent, notamment sur Telegram. Wired dit avoir constaté que certains de ces canaux comptaient des dizaines de milliers de personnes.

La facilité de connexion et les fonctions sans cesse ajoutées rendent l’offre toujours plus attractive pour une partie du grand public. Un phénomène qui augmente les humiliations, dont les deepfakes pornographiques ne sont que les dernières émanations. Des humiliations persistantes, car les images, une fois créées et diffusées, se retrouvent partout, ce qui se traduit pour les victimes par une quasi-impossibilité de toutes les effacer. Et la pratique est devenue presque banale, comme on l’a vu en juillet en Espagne, avec la condamnation de 15 écoliers pour avoir créé, via une IA, et diffusé des images de leurs camarades de classe dénudées.