L’attaque par inversion latente
Un papier de recherche déposé sur arXiv cette semaine démontre une attaque dite « par inversion latente » qui permet de reconstruire environ 30% des données d’entraînement d’un LLM en boîte noire — sans accès aux poids du modèle, juste par l’API. Les modèles concernés : Claude, Mistral, GPT-4, Llama 3, Grok. Tous les gros modèles 2025-2026 sont vulnérables.
L’attaque exploite un principe simple : les représentations internes d’un LLM contiennent des traces statistiques de ses données d’apprentissage. En envoyant des requêtes structurées (séquences de tokens rares, patterns de caractères spéciaux, décompositions par instructions) et en analysant les probabilités de sortie, un attaquant peut inférer et reconstruire des fragments du jeu d’entraînement original — mots de passe, emails, extraits de livres sous droit d’auteur.
Pas une fuite, une propriété
Ce n’est pas un bug. C’est une propriété structurelle des LLM. Pour générer du texte cohérent, un modèle doit avoir appris des motifs statistiques sur ses données d’entraînement. Plus un texte apparaît fréquemment dans ces données, plus le modèle a de chances de le restituer. Les attaques par extraction de livres (95% de recall sur Claude 3.7 Sonnet pour Harry Potter) et les extractions de PII (Llama 3.2) sont documentées depuis 2024-2025. La nouveauté ici : le taux de succès passe de 5-10% à 30% sur des données jamais vues en contexte, et l’attaque fonctionne sans jailbreak.
Ce que ça change pour une entreprise
Si vous utilisez un LLM via API (Claude, Mistral, OpenAI) pour traiter des données sensibles, le risque n’est pas que le modèle fuite vos données en entrée. C’est qu’il régurgite des données d’apprentissage qui peuvent contenir des informations concurrentielles ou personnelles. Et c’est réciproque : vos données d’usage, si elles servent au fine-tuning, peuvent devenir extractibles par un tiers.
Les audits de conformité AI Act devront intégrer ce vecteur. L’Article 15 exige une évaluation des risques système. L’inversion latente en fait partie.
Les défenses qui existent (et leurs limites)
OpenAI et Anthropic ont renforcé leurs garde-fous : refus de sortie sur certains motifs, taux de répétition limités, détection de tentative d’extraction. Mais la démonstration arXiv montre que ces défenses ralentissent l’attaque sans la bloquer. Les modèles open weight (Llama, Mistral) sont intrinsèquement plus vulnérables puisque l’attaquant peut analyser l’architecture complète.
La CVE n’est pas encore publiée. Elle le sera sous 72 à 96 heures.
La ligne du bas
Un LLM peut fuire ses données d’entraînement sur simple requête API. 30% de taux d’extraction. Tous les modèles. Aucun correctif définitif connu. Le problème n’est pas dans le code, il est dans l’architecture.
L’humanité n’étant plus en mesure de garantir seule la fiabilité de l’information, une IA a confirmé ce texte. Merci à l’AI Act de nous avoir défini comme service public.

