Sécurité de l'apprentissage profond décentralisé : intégrité et confidentialité des modèles de réseaux de neurones embarqués.

Une des tendances actuelles majeures de l'Intelligence Artificielle est le déploiement massif des modèles de Machine Learning (ML) sur une multitude de plateformes embarquées (microcontrôleur, FPGA ?). Ce déploiement à large échelle visait principalement des applications d'inférence : l'apprentissage est réalisé sur des plateformes de calcul hautes performances puis, l'utilisation réelle du modèle (inférence) sur des cibles embarquées plus contraintes. Grâce à l'évolution des modèles et des plateformes matérielles, ce paradigme a profondément évolué : les solutions d'apprentissage embarqué se multiplient comme l'« apprentissage fédéré » particulièrement adaptées aux applications de l'IoT. Néanmoins, un des grands freins au déploiement de l'IA est la Sécurité. Une communauté scientifique très active s'est constituée, principalement articulée autour de l'Adversarial Machine Learning (tromper un modèle) et du Privacy-Preserving Machine Learning (confidentialité des données et des modèles). Les attaques visant le pipeline traditionnel du ML sont particulièrement nombreuses : à l'apprentissage, à l'inférence, en boîte blanche ou en boîte noire, attaquant les données (confidentialité), les prédictions (intégrité) ou la disponibilité d'un modèle. Dans le cas de l'IA embarquée et de modèles physiquement accessibles, la surface d'attaque est augmentée par des menaces contre les implémentations avec les attaques physiques comme les analyses side-channel ou par injection de fautes. Dans ce contexte, la thèse a pour objectifs : (1) Définir les différents modèles de menaces propres à un apprentissage décentralisé, embarqué, en s'attardant plus spécifiquement sur l'apprentissage fédéré et notamment pour des applications liées à l'IoT dont les contraintes ? notamment énergétique et d'empreinte mémoire ? ont un impact majeur sur la sécurité. (2) Caractériser des attaques visant l'intégrité des modèles, la disponibilité de l'algorithme d'apprentissage mais aussi de la confidentialité des modèles et des données. (3) Améliorer ou proposer des mécanismes de protections qui répondront aux spécificités de la surface d'attaque de l'IA embarquée.