Sons inaudibles dans les podcasts : la faille qui détourne en silence les assistants vocaux IA

Temps de lecture : 5 minutes
Enceinte connectée noire posée sur une table basse en bois, émettant une discrète lumière bleue dans un salon tamisé.
© Des chercheurs ont démontré qu'un signal audio inaudible glissé dans un podcast suffit à détourner un assistant vocal IA, à l'insu de son propriétaire.
Dans cet article Dans cet article

Imaginez la scène : un podcast tourne en fond pendant que vous préparez le dîner, votre enceinte connectée écoute en silence, et soudain elle relance un virement, lit un message privé ou ouvre la porte du garage. Vous n’avez rien commandé, et vous n’avez surtout rien entendu. C’est exactement ce scénario qu’une équipe de chercheurs chinois et singapouriens vient de démontrer dans une étude présentée à l’IEEE Symposium on Security and Privacy 2026. L’attaque, baptisée AudioHijack, soulève une question dérangeante : nos assistants vocaux IA sont-ils armés pour ce qui les attend ?

Une menace qui se cache dans le bruit

Le principe est aussi simple à formuler qu’il est difficile à parer. Les chercheurs ont conçu un signal audio dit « adverse », imperceptible pour l’oreille humaine, qu’on peut glisser dans à peu près n’importe quelle piste : un podcast, une bande-annonce YouTube, une vidéo TikTok, un morceau qu’on écoute en travaillant. Aucun avertissement, aucune sirène, aucune voix bizarre, l’auditeur entend exactement ce qu’il est censé entendre. Mais l’assistant vocal IA, lui, perçoit autre chose : une instruction calibrée pour ses propres réseaux neuronaux, et il l’exécute. Le bruit ambiant devient un canal de commandes secondaire, sur lequel le propriétaire de l’appareil n’a aucune visibilité.

AudioHijack, mode d’emploi d’une attaque silencieuse

Sous le capot, l’attaque repose sur une technique de « convolutional perturbation blending » : les chercheurs déforment imperceptiblement la forme d’onde d’un clip audio pour y intégrer une perturbation qui ressemble, pour notre cerveau, à une légère réverbération naturelle. L’oreille trouve ça normal, les modèles de reconnaissance vocale, eux, lisent dedans un ordre clair. Plus inquiétant encore : le signal n’est pas accroché à une commande précise. Une fois entraîné, il devient une sorte de passe-partout réutilisable à volonté.

« Il suffit d’une demi-heure pour entraîner ce signal et, comme il est insensible au contexte, on peut s’en servir pour attaquer le modèle cible quand on veut, peu importe ce que dit l’utilisateur. »

Meng Chen, doctorante à l’université du Zhejiang, citée par IEEE Spectrum en mai 2026

Pourquoi l’open source devient un cheval de Troie

L’étude impose une condition à l’attaquant : il doit disposer de l’intégralité des poids du modèle ciblé. Sur le papier, ça limite l’attaque aux modèles open source, et certains commentateurs ont rapidement voulu y voir une réserve rassurante. C’est en réalité l’inverse. Une part croissante des produits commerciaux, qu’il s’agisse de chatbots de support, d’assistants embarqués ou d’agents domestiques, est construite par-dessus des bases ouvertes signées notamment Microsoft ou Mistral. La même brèche qui fragilise le modèle libre se propage donc dans toute la chaîne aval, sans que l’utilisateur final voie l’étiquette du moteur qui tourne sous son application. À côté des vulnérabilités déjà façonnées par l’IA elle-même, on commence à mesurer la nouvelle surface d’attaque qui s’ouvre dans le sillage de l’engouement pour les modèles ouverts.

Microsoft botte en touche, Mistral fait le silence

Du côté des éditeurs concernés, les réactions racontent leur propre histoire. Mistral n’a pas répondu aux sollicitations d’IEEE Spectrum, ce qui n’est jamais un bon signal quand un papier de sécurité publique cite votre nom. Microsoft, pour sa part, salue le travail des chercheurs tout en rappelant que ses modèles ne sont pas censés être exposés tels quels : les développeurs qui les intègrent dans des produits réels devraient empiler par-dessus leurs propres garde-fous. La réponse est correcte sur le plan technique. Elle est aussi un transfert de responsabilité élégant vers la chaîne d’intégration, à un moment où le grand public découvre tout juste ce qu’est un agent vocal autonome capable d’agir sans supervision humaine.

Des défenses qui n’arrêtent presque rien

Le plus dérangeant n’est pas l’attaque elle-même, c’est ce qui reste quand on lui oppose les contre-mesures connues. Entraîner les modèles à se méfier des prompts suspects ne fait baisser le taux de réussite de l’attaque que de 7 %. Demander au système de vérifier si sa réponse correspond bien à l’intention initiale de l’utilisateur n’attrape que 28 % des tentatives. Autrement dit, plus de deux attaques sur trois passent sous le radar des défenses censées être à la pointe. Dans un secteur qui aime parler de safety alignment, c’est un rappel sec : ces garde-fous ont été pensés pour gérer des humains malicieux, pas des perturbations infimes nichées dans une onde sonore.

Une fenêtre d’attaque encore étroite, mais qui s’élargit

Pour aujourd’hui, AudioHijack reste un travail de laboratoire : il faut connaître le modèle, l’entraîner, choisir une cible. Mais les briques nécessaires sortent toutes en même temps. L’industrialisation des contenus audio et vidéo générés par IA fournit le véhicule idéal pour distribuer un signal piégé à grande échelle ; les agents IA qui guettent l’utilisateur en permanence fournissent la victime, parce qu’un assistant qui n’écoute jamais est invulnérable à un signal qu’il n’entendra pas. Sur la trajectoire actuelle, il faut s’attendre à ce qu’une variante simplifiée arrive dans les forums offensifs, sous forme de signal pré-entraîné distribué comme un payload prêt à l’emploi. Le moment où l’attaque cessera d’exiger un doctorat est probablement plus proche qu’on ne le pense.

Ce qu’on peut faire dès maintenant

Trois pistes concrètes émergent. D’abord, segmenter strictement les actions qu’un agent vocal peut entreprendre sans confirmation explicite : un paiement, un partage de fichier ou un déverrouillage devraient toujours réclamer un second canal, même au prix d’un peu de confort. Ensuite, rouvrir le débat sur l’écoute permanente : un mode d’activation manuel, par bouton physique ou phrase d’éveil offline, supprime mécaniquement toute la surface d’attaque décrite par AudioHijack. Enfin, exiger des éditeurs de modèles qu’ils intègrent la robustesse aux perturbations adverses dans leurs publications de référence, pas seulement dans un blog post de réponse à un papier embarrassant, mais dans la fiche technique du modèle. À court terme, ce sera la seule manière de redonner une consistance à la promesse de sécurité d’un assistant vocal qu’on installe au cœur de son foyer.

AudioHijack n’est pas le scandale d’un éditeur en particulier, c’est un rappel structurel : on a posé des oreilles dans nos foyers avant d’avoir réfléchi à ce que ces oreilles pouvaient entendre à notre insu. La balle est désormais dans le camp des constructeurs, des plateformes audio et, accessoirement, des régulateurs qui s’inquiétaient jusqu’ici de tout sauf de ça.

Donnez votre avis

Soyez le 1<sup>er</sup> à noter cet article

Vous aimez cet article ? Partagez !

Plus d'informations

Nous contacter
Plan du site
Politique de rédaction
Politique de confidentialité
Mentions légales

Nos thématiques populaires

Copyright ©Nikopik 2026