Politique et réglementation

Ce que le « filigrane IA » veut vraiment dire — et pourquoi c'est plus difficile qu'il n'y paraît

Uncutly Editorial · 15 juillet 2026 · 9 min de lecture

Graphique officiel C2PA montrant une photo avec un badge Content Credentials et le panneau de données de provenance associé
Graphique officiel de partage social — c2pa.org

Quand l’AI Act européen exige que les fournisseurs marquent les contenus générés dans un « format lisible par machine… détectable comme artificiellement généré », le texte se garde bien de préciser comment. La loi nomme une exigence, pas une technologie. En pratique, cette exigence est satisfaite par une poignée de systèmes techniques concrets, développés depuis des années, chacun avec de vraies capacités et une manière bien documentée de tomber en panne. Deux approches dominent : les standards de métadonnées signées cryptographiquement, comme les Content Credentials de C2PA, et les signaux invisibles intégrés directement dans les pixels ou le texte, comme SynthID de Google DeepMind. Comprendre comment chacun fonctionne réellement — et, plus utile encore, comment chacun échoue — fait toute la différence entre supposer qu’un label « filigrané » signifie quelque chose de durable, et savoir exactement ce qu’il peut promettre ou non.

Deux choses très différentes portent le nom de « filigrane »

Le mot est employé à la légère, mais les deux approches dominantes résolvent le problème de manières presque opposées. Les Content Credentials de C2PA rattachent un enregistrement signé — qui a créé le contenu, avec quel outil, quelles modifications ont eu lieu depuis — sous forme de paquet de données séparé, accroché au fichier. Les filigranes statistiques comme SynthID n’attachent rien de séparé du tout : ils modifient les valeurs de pixels elles-mêmes, ou les probabilités de sélection des tokens, au moment même de la génération, si bien que la « marque » est indissociable du contenu. L’un ressemble à un certificat notarié agrafé à un document. L’autre ressemble davantage à une signature tissée dans les fibres du papier. Les deux sont appelés « filigrane ». Ils n’ont presque rien d’autre en commun — pas même la façon dont ils échouent.

Comment un Content Credential est réellement rattaché

C2PA — la Coalition for Content Provenance and Authenticity, soutenue par plus de 6 000 organisations membres dont Adobe, Google, Microsoft, Amazon, Meta, Sony, la BBC, OpenAI et Truepic — définit un processus en trois étapes. Un « générateur de claim » (logiciel ou matériel) rassemble un ensemble d’assertions sur le contenu : appareil de capture, outils d’édition utilisés, manifestes antérieurs dont il descend. Ces assertions deviennent un « claim », signé avec la clé privée du logiciel créateur au format COSE, adossé à un certificat X.509 délivré par une autorité de certification de confiance. Le paquet signé — le manifeste — est empaqueté dans un conteneur JUMBF et intégré au fichier, devenant, sous la marque grand public, un Content Credential : cette petite icône « cr » qu’on a peut-être déjà vue dans le coin d’une image, et qui ouvre un panneau indiquant quand le contenu a été créé, ce qui a été modifié, et qui a signé. Point crucial : la chaîne est conçue pour survivre à une édition légitime — si un outil compatible ouvre une image créditée, la modifie et la re-signe, le nouveau manifeste peut référencer le précédent, construisant un historique traçable plutôt que de l’effacer.

Panneau Content Credentials affichant les données de provenance — date, modifications et activité, signataire — sur une photo à travers plusieurs éditions

Le problème : un manifeste vit dans le fichier, pas dans l’image

C2PA propose deux façons de lier un manifeste à un contenu, et la plus solide est aussi la plus fragile. Un « hard binding » est un hachage cryptographique des octets exacts du fichier ; qu’un seul octet change — recompression, redimensionnement, réenregistrement dans un autre format — et le hachage ne correspond plus, la validation échoue. C’est voulu : le but est de signaler une falsification. Mais cela signifie aussi qu’une manipulation banale et parfaitement innocente d’un fichier — une plateforme qui réencode un envoi pour économiser de la bande passante, une application qui réenregistre en qualité inférieure — peut casser la liaison tout aussi efficacement qu’une modification malveillante. Un « soft binding », dérivé d’une empreinte perceptuelle du contenu plutôt que de ses octets bruts, est plus durable et peut permettre de retrouver un manifeste via un service de correspondance même après suppression de la copie intégrée — mais c’est une garantie plus faible, qui dépend de l’existence et de l’interrogation effective de cette infrastructure. Et il y a ensuite le mode d’échec qui ne nécessite aucun outil d’édition : la capture d’écran. Une capture d’écran ne copie ni les octets d’un fichier ni son conteneur JUMBF intégré — elle réaffiche les pixels via la pile graphique du système d’exploitation et capture une toute nouvelle image, sans aucun souvenir des métadonnées du fichier d’origine. Ajoutez à cela la pratique bien connue des grandes plateformes qui suppriment par défaut les métadonnées EXIF et XMP des fichiers envoyés — pour des raisons de confidentialité et de bande passante antérieures à tout ce sujet —, et un credential fondé sur un conteneur a déjà plusieurs façons parfaitement ordinaires de disparaître, sans que personne n’ait cherché à cacher quoi que ce soit.

Intégrer le signal directement dans le contenu

La seconde approche existe précisément pour survivre à ce qui fait échouer la première. SynthID et les systèmes comparables intègrent un signal statistique imperceptible directement dans les valeurs de pixels lors de la génération d’image ou de vidéo, ou dans les probabilités de sélection des tokens lors de la génération de texte — non pas attaché à côté du contenu, mais réparti à travers lui. Comme le signal circule dans l’information visuelle ou textuelle elle-même plutôt que dans un conteneur annexe, il est conçu pour résister au recadrage, au redimensionnement, à la recompression, à la conversion de format et — contrairement à un manifeste de métadonnées — aux captures d’écran, puisque les pixels capturés continuent de porter la perturbation. L’ampleur du déploiement mi-2026 est bien réelle : Google affirme que SynthID a marqué plus de 10 milliards de contenus, il s’applique désormais par défaut dans Gemini, Imagen, Veo et Lyria, et depuis mai 2026, OpenAI s’est associé à Google pour intégrer SynthID aux images issues de ChatGPT, DALL·E, Codex et de l’API OpenAI, avec Kakao et ElevenLabs également partenaires, et un déploiement qui s’étend à Search et Chrome.

Robuste ne veut pas dire incassable

Le compromis, c’est que vérifier un filigrane statistique n’est pas une vérification cryptographique binaire que n’importe qui peut refaire de façon indépendante — cela exige de faire passer le contenu par un détecteur, généralement propriétaire et contrôlé par l’éditeur, qui rapporte un niveau de confiance plutôt qu’une certitude : présent, absent, ou incertain. Cette dépendance à un détecteur en boîte noire est une première faiblesse. La seconde, c’est que le signal lui-même peut être attaqué directement. Il a été démontré que les filigranes textuels comme SynthID-Text peuvent être déjoués par reformulation, des attaques sophistiquées faisant chuter la précision de détection jusqu’à un niveau proche du hasard, selon les rapports. Pour les images, une attaque par « régénération par diffusion » — encoder l’image dans un espace latent, y injecter du bruit, puis la reconstruire par un passage de diffusion inverse — produit un résultat visuellement identique pour un œil humain, mais qui ne porte plus le signal statistique d’origine ; ce n’est pas un exercice théorique : des outils open source activement maintenus, conçus spécifiquement pour retirer SynthID, les credentials C2PA et les étiquettes EXIF/XMP « créé avec l’IA », existent déjà publiquement. À cela s’ajoute un compromis technique inévitable : rendre un filigrane plus résistant aux attaques tend à dégrader visiblement la qualité de sortie, et aucun schéma actuel n’a pleinement résolu cette tension — les éditeurs calibrent donc pour une résilience raisonnable face à une manipulation ordinaire, pas pour une résistance maximale face à un adversaire déterminé.

L’angle mort qu’aucune des deux approches ne peut combler

Les deux systèmes partagent une limite qui n’a rien à voir avec le recadrage ou la reformulation : le filigrane est optionnel au niveau du logiciel, et il ne marque que les sorties d’un système qui a choisi de l’implémenter. Un outil de génération à poids ouverts exécuté localement peut tout simplement ne pas inclure le code de filigrane, et rien dans le format de fichier, la loi ou la physique de la situation ne peut faire apparaître une marque dans un contenu pour lequel un générateur n’en a jamais intégré aucune. Cela joue dans les deux sens pour quiconque voudrait utiliser ces marques comme signal de confiance : l’absence d’un credential ou d’un filigrane détectable ne prouve pas qu’un contenu n’a pas été généré par IA, et la présence d’un credential valide ne prouve pas que le contenu est exact, autorisé, ou montré dans son contexte d’origine — une véritable photographie, réellement modifiée et correctement signée à chaque étape, peut néanmoins induire en erreur. Un credential prouve une chaîne de garde, pas l’honnêteté. Le Code of Practice du bureau de l’IA de l’UE le reconnaît implicitement en prescrivant une approche multicouche — métadonnées, filigrane invisible et journalisation combinés — plutôt que d’adouber un mécanisme unique, parce que les rédacteurs des lignes directrices techniques savent qu’aucune couche seule ne couvre tous les modes d’échec.

L’obligation d’étiquetage est-elle donc réellement applicable sur le plan technique ?

C’est ici que le tableau technique rejoint le tableau juridique. L’obligation de marquage lisible par machine de l’article 50(2) de l’AI Act européen est réellement vérifiable à la source : un régulateur ou un auditeur peut contrôler si un système de génération attache un manifeste, un signal invisible, ou les deux, au moment où le contenu est produit — et les fournisseurs respectent cette exigence, ou non. Cette partie de la loi a une vraie portée technique. Ce que la loi ne peut pas faire, c’est garantir que la marque reste lisible sur la copie du contenu qui finit par atteindre un spectateur, trois republications, deux captures d’écran et une recompression plus tard. Rien dans la réglementation ne va aussi loin, parce que rien dans la technologie sous-jacente ne va aussi loin — ce n’est pas un oubli des rédacteurs, mais un reflet honnête de ce que ces systèmes peuvent et ne peuvent pas faire. Cela ne rend pas l’exigence inutile pour autant : un monde où la plupart des contenus IA portent un signal détectable, même imparfait, au moment de leur publication, constitue un point de départ nettement meilleur pour les plateformes et les chercheurs qui construisent des pipelines de détection, comparé à l’absence quasi totale de marquage qui existait il y a encore quelques années. Mais cela signifie que la lecture raisonnable d’un label « filigrané » ou « étiqueté » n’est pas « ceci est garanti traçable » — c’est plutôt « ceci a été marqué au moment de sa création, et savoir si cela a survécu jusqu’à vous est une question distincte, à laquelle cette technologie n’a jamais été conçue pour répondre avec certitude ».

Les informations réglementaires et techniques ci-dessus reflètent des données publiquement disponibles à la mi-juillet 2026 — vérifiez les spécifications et exigences en vigueur avant de fonder une décision dessus. Cet article constitue une information générale, pas un conseil juridique ou de conformité technique.