Attaques Physiques Pour Et Contre L'intelligence Artificielle

**Attaques physiques pour et contre l'intelligence artificielle // Physical Attacks For and Against Artificial Intelligence**:

- Réf **ABG-132260**
**ADUM-66134**
- Sujet de Thèse
- 28/05/2025
- Contrat doctoral
- Université Grenoble Alpes
- Lieu de travail- GRENOBLE Cedex - Auvergne-Rhône-Alpes - France
- Intitulé du sujet- Attaques physiques pour et contre l'intelligence artificielle // Physical Attacks For and Against Artificial Intelligence
- Champs scientifiques- Informatique
- Mots clés- Attaque par faute, Canaux auxiliaires, Robustesse des réseaux de neurones
Fault injection attack, Side-channel attacks, Neural network robustness

**Description du sujet**:

- L'intégration rapide de l'intelligence artificielle (IA) dans les systèmes embarqués et critiques (véhicules autonomes, objets connectés, dispositifs médicaux, etc.) s'accompagne de nouvelles vulnérabilités. Alors que la sécurité des modèles d'IA est souvent abordée du point de vue logiciel (attaques adversariales, exfiltration de données via API), les menaces physiques restent peu explorées. Ces dernières incluent les attaques par faute (injection de glitch, laser, EM, etc.) et par canaux auxiliaires (analyse de consommation, d'émission électromagnétique ou de temps d'exécution), historiquement appliquées à la cryptographie.

Cette thèse propose d'étudier ces attaques dans un double objectif : contre l'IA (c'est-à-dire pour compromettre son intégrité, sa confidentialité ou sa disponibilité), mais aussi pour l'IA — en exploitant les mécanismes physiques comme outils d'analyse de robustesse ou d'explicabilité des modèles.

Le premier volet consistera à évaluer la vulnérabilité de modèles d'IA embarqués (tels que des réseaux de neurones déployés sur microcontrôleurs, FPGA, ou accélérateurs matériels) à des attaques physiques ciblées. L'étude portera à la fois sur les données (exfiltration ou corruption d'entrées/sorties), sur le comportement des modèles (biais, backdoors activés par fautes), et sur le matériel sous-jacent (injections ciblées dans les chemins de données ou unités de calcul).

Dans un second temps, les attaques par fautes seront étudiées comme un instrument pour mieux comprendre les modèles. Par exemple, en perturbant intentionnellement certaines activations ou poids internes, il est possible d'observer l'évolution des sorties du modèle et ainsi de déduire des informations sur l'importance relative des composants du réseau — une approche originale d'explicabilité par perturbation physique. De même, l'étude de la résilience d'un modèle face à des fautes injectées permettra de définir de nouvelles métriques de robustesse matérielle, complémentaires aux approches logicielles (comme les attaques adversariales classiques).

Enfin, la thèse visera à proposer des contre-mesures adaptées, en considérant les contraintes des dispositifs embarqués (coût, consommation, latence). Cela pourra inclure la détection d'anomalies physiques, des architectures redondantes, ou des techniques d'obfuscation matérielle.

Ce travail se situe à l'intersection de la sécurité matérielle, de l'IA embarquée, et de l'analyse expérimentale. Il aura des retombées potentielles dans les domaines de la certification des systèmes intelligents, de la cybersécurité industrielle, et de l'IA de confiance. La thèse pourra aussi être étendue à des architectures non conventionnelles comme les réseaux de neurones impulsionnels (SNN), particulièrement sensibles aux perturbations physiques.

The rapid integration of Artificial Intelligence (AI) into embedded and safety-critical systems (e.g., autonomous vehicles, connected objects, medical devices) brings new and largely unexplored security challenges. While most AI security research focuses on software-level threats (such as adversarial examples or model inversion), the physical security of AI hardware remains understudied. Physical attacks, including fault injection (via voltage glitches, laser pulses, or electromagnetic interference) and side-channel analysis (via power consumption, electromagnetic emissions, or timing), are well known in cryptographic contexts but rarely addressed in AI systems.

This thesis explores physical attacks on AI from a dual perspective: against AI (as a means to compromise integrity, confidentiality, or availability), and for AI (by using physical perturbations as tools for robustness assessment and model interpretability).

The first part of the research will focus on evaluating the vulnerability of embedded AI systems — such as neural networks running on microcontrollers, FPGAs, or hardware accelerators — to targeted physical attacks. These attacks may aim to extract or corrupt inputs and outputs, activate hidden backdoors, or disrupt critical operations within data paths or arithmetic units. This work will rely on experimental campaigns involving controlled fault injection and side-channel measurements.

In the second part, fault injection will be repurposed as a diagnostic tool. By perturbing