Dans cet article Dans cet article
- Une menace qui se cache dans le bruit
- AudioHijack, mode d’emploi d’une attaque silencieuse
- Pourquoi l’open source devient un cheval de Troie
- Microsoft botte en touche, Mistral fait le silence
- Des défenses qui n’arrêtent presque rien
- Une fenêtre d’attaque étroite, mais qui s’élargit
- Trois chantiers pour reprendre la main avant que ça déborde
Imaginez la scène : un podcast tourne en fond pendant que vous préparez le dîner, votre enceinte connectée écoute en silence, et soudain elle relance un virement, lit un message privé ou ouvre la porte du garage. Vous n’avez rien commandé, et surtout vous n’avez rien entendu. C’est exactement ce scénario qu’une équipe sino-singapourienne vient de démontrer dans une étude présentée à l’IEEE Symposium on Security and Privacy 2026.
L’attaque, baptisée AudioHijack, ne pirate ni votre Wi-Fi ni votre compte, elle parle directement aux oreilles de l’assistant sans alerter les vôtres. Le procédé est documenté, reproductible, et les défenses connues peinent à le détecter. Nos assistants vocaux IA sont-ils armés pour ce qui les attend ?
Une menace qui se cache dans le bruit
Le principe est aussi simple à formuler qu’il est difficile à parer. Les chercheurs ont conçu un signal audio dit « adverse », imperceptible pour l’oreille humaine, qu’on peut glisser dans à peu près n’importe quelle piste sonore : un podcast, une bande-annonce YouTube, une vidéo TikTok, un morceau qu’on écoute en travaillant. Aucun avertissement, aucune sirène, aucune voix bizarre : l’auditeur entend exactement ce qu’il est censé entendre.
L’assistant vocal IA, lui, perçoit autre chose. Une instruction calibrée pour ses propres réseaux neuronaux, qu’il s’empresse d’exécuter sans broncher. Le bruit ambiant devient un canal de commandes secondaire totalement invisible, sur lequel le propriétaire de l’appareil ne voit ni n’entend rien passer.
AudioHijack, mode d’emploi d’une attaque silencieuse
Sous le capot, l’attaque repose sur une technique baptisée « convolutional perturbation blending ». Les chercheurs déforment imperceptiblement la forme d’onde d’un clip audio pour y intégrer une perturbation qui ressemble, pour notre cerveau, à une légère réverbération naturelle. L’oreille trouve ça normal, le modèle de reconnaissance vocale, lui, lit dedans un ordre clair.
Plus inquiétant encore : le signal n’est pas accroché à une commande précise. Une fois entraîné, il devient une sorte de passe-partout réutilisable à volonté, indépendant du contexte sonore dans lequel il est dissimulé.
Il suffit d’une demi-heure pour entraîner ce signal et, comme il est insensible au contexte, on peut s’en servir pour attaquer le modèle cible quand on veut, peu importe ce que dit l’utilisateur.
Meng Chen, doctorante à l’université du Zhejiang, citée par IEEE Spectrum en mai 2026
Pourquoi l’open source devient un cheval de Troie
L’étude impose une condition à l’attaquant : il doit disposer de l’intégralité des poids du modèle ciblé. Sur le papier, ça limite l’attaque aux modèles open source, et certains commentateurs ont voulu y voir une réserve rassurante. C’est en réalité l’inverse qui se profile.
Une part croissante des produits commerciaux, qu’il s’agisse de chatbots de support, d’assistants embarqués ou d’agents domestiques, est construite par-dessus des bases ouvertes signées notamment Microsoft ou Mistral. La même brèche se propage dans toute la chaîne aval, sans que l’utilisateur final voie l’étiquette du moteur qui tourne sous son application. À côté des vulnérabilités déjà façonnées par l’IA elle-même, on commence à mesurer la surface d’attaque qui s’ouvre dans le sillage de l’engouement pour les modèles ouverts.
Microsoft botte en touche, Mistral fait le silence
Du côté des éditeurs concernés, les réactions racontent leur propre histoire. Mistral n’a pas répondu aux sollicitations d’IEEE Spectrum, ce qui n’est jamais un bon signal quand un papier de sécurité publique cite votre nom dans un titre. Microsoft, pour sa part, salue le travail des chercheurs tout en rappelant que ses modèles ne sont pas censés être exposés tels quels.
Les développeurs qui les intègrent dans des produits réels devraient empiler par-dessus leurs propres garde-fous, plaide la firme de Redmond. La réponse est correcte sur le plan technique. Elle est aussi un transfert de responsabilité élégant vers la chaîne d’intégration, à un moment où le grand public découvre tout juste ce qu’est un agent vocal autonome capable d’agir sans supervision humaine.
Des défenses qui n’arrêtent presque rien
Le plus dérangeant n’est pas l’attaque elle-même, c’est ce qui reste quand on lui oppose les contre-mesures connues. Les chercheurs ont passé en revue les principales familles de défenses déployées dans l’industrie, avec des résultats qui mettent à mal la promesse de safety alignment :
- l’entraînement à la méfiance face aux prompts suspects ne fait baisser le taux de réussite de l’attaque que de 7 % ;
- la vérification de cohérence entre la réponse générée et l’intention initiale de l’utilisateur n’attrape que 28 % des tentatives ;
- les filtres acoustiques classiques, débruitage et détection d’anomalies spectrales en tête, laissent passer la quasi-totalité des signaux adverses testés.
Plus de deux attaques sur trois passent sous le radar des défenses censées être à la pointe. Dans un secteur qui aime parler d’alignement, c’est un rappel sec : ces garde-fous ont été pensés pour gérer des humains malicieux, pas des perturbations infimes nichées dans une onde sonore.
Une fenêtre d’attaque étroite, mais qui s’élargit
Pour aujourd’hui, AudioHijack reste un travail de laboratoire : il faut connaître le modèle, l’entraîner, choisir une cible. Les briques nécessaires, elles, sortent toutes en même temps sur le marché.
L’industrialisation des contenus audio et vidéo générés par IA fournit le véhicule idéal pour distribuer un signal piégé à grande échelle. Les agents IA qui guettent l’utilisateur en permanence, eux, fournissent la victime parfaite : un assistant qui n’écoute jamais est invulnérable à un signal qu’il n’entendra pas.
Sur la trajectoire actuelle, il faut s’attendre à ce qu’une variante simplifiée arrive dans les forums offensifs, sous forme de signal pré-entraîné distribué comme un payload prêt à l’emploi. Le moment où l’attaque cessera d’exiger un doctorat est plus proche qu’on ne le pense.
Trois chantiers pour reprendre la main avant que ça déborde
Au-delà de la curiosité technique, AudioHijack pose une question d’arbitrage. Avant que le signal adverse ne sorte du laboratoire, trois chantiers méritent d’être ouverts sans tarder : segmenter les actions sensibles de tout agent vocal, repenser l’écoute permanente et exiger une robustesse adverse documentée dans la fiche technique de chaque modèle, pas dans un billet de blog publié à la hâte après un papier embarrassant.
La balle est dans le camp des constructeurs, des plateformes audio et des régulateurs, qui se sont jusqu’ici inquiétés de presque tout sauf de ça. Ce n’est pas le scandale d’un éditeur en particulier, c’est un rappel structurel : on a posé des oreilles dans nos foyers avant d’avoir réfléchi à ce que ces oreilles pouvaient entendre à notre insu.

