Comment détecter une image générée par IA ?

TruthLens utilise une combinaison d'Error Level Analysis (ELA), d'analyse PRNU, de modèles de détection IA et de vérification C2PA pour identifier les artefacts caractéristiques des images générées par Midjourney, DALL-E, Stable Diffusion ou d'autres outils génératifs.

Puis-je utiliser TruthLens pour contester une fraude sur Vinted ou LeBonCoin ?

Oui. Le rapport PDF certifié généré par TruthLens inclut le hash SHA256 du fichier, l'horodatage de l'analyse, le score de probabilité et les détails forensiques. Ce document peut être soumis au service client de la plateforme ou à un avocat comme élément de preuve dans un litige.

Qu'est-ce que l'analyse ELA (Error Level Analysis) ?

L'Error Level Analysis (ELA) est une technique forensique qui analyse les niveaux de compression JPEG d'une image pour détecter les zones qui ont été modifiées ou insérées. Les zones manipulées présentent des niveaux d'erreur différents du reste de l'image, révélant ainsi les retouches ou les insertions d'éléments générés.

TruthLens peut-il détecter les deepfakes ?

Oui, TruthLens détecte les images deepfake en analysant les incohérences de bruit capteur (PRNU), les artefacts de génération IA et les métadonnées suspectes. L'analyse vidéo deepfake sera disponible en V2.

Mes images sont-elles conservées après l'analyse ?

Non. Les fichiers uploadés sont supprimés immédiatement après l'analyse. Seuls les métadonnées, le hash SHA256 et les résultats d'analyse sont conservés dans votre historique, conformément à notre politique de confidentialité RGPD.

Watermarking IA (SynthID & co) : forces et limites

À mesure que les images générées par IA deviennent indiscernables des photos réelles, l'idée d'y inscrire une marque invisible dès leur création s'impose comme une réponse séduisante. Google, OpenAI, Meta et d'autres déploient des systèmes de filigrane numérique censés signaler discrètement qu'un contenu est synthétique. Mais ces watermarks tiennent-ils leurs promesses ? Cet article décortique leur fonctionnement, leur robustesse réelle et pourquoi ils ne suffisent jamais à eux seuls.

Qu'est-ce qu'un watermark IA invisible ?

Un filigrane numérique invisible est une information encodée directement dans les pixels d'une image, imperceptible à l'œil humain mais détectable par un algorithme dédié. Contrairement à un logo apposé dans un coin, ce marquage est diffus dans l'ensemble de l'image, ce qui le rend bien plus difficile à retirer.

L'objectif est double : permettre de distinguer un contenu généré par IA d'un contenu authentique, et tracer l'origine d'un visuel. Dans un contexte de désinformation et de fraude croissantes, ces filigranes sont présentés comme un pilier de la transparence des contenus synthétiques.

La différence avec un watermark visible

Le filigrane visible (un texte semi-transparent, un logo) altère l'image et se supprime facilement par recadrage ou retouche. Le watermark invisible vise au contraire à survivre aux manipulations courantes tout en restant indétectable visuellement. C'est un compromis permanent entre robustesse et imperceptibilité : plus le marquage est robuste, plus il risque de devenir visible, et inversement.

SynthID : le système de Google DeepMind

SynthID est la technologie de filigrane développée par Google DeepMind. C'est aujourd'hui l'une des approches les plus abouties et les plus documentées du marché.

Comment fonctionne SynthID pour les images

SynthID intègre le filigrane directement dans le processus de génération de l'image, et non a posteriori. Le marquage modifie subtilement la distribution des pixels d'une manière statistiquement détectable mais visuellement invisible. Comme il est inscrit au cœur du contenu, il survit mieux que les métadonnées à certaines transformations comme la recompression ou les filtres légers.

Google a étendu SynthID au-delà des images : il existe désormais des variantes pour le texte généré, l'audio et la vidéo. Pour le texte, le système oriente subtilement le choix des tokens lors de la génération, créant une signature probabiliste détectable statistiquement sur des passages suffisamment longs.

Les forces de SynthID

Invisibilité : aucune dégradation perceptible de la qualité de l'image.
Résistance modérée : tient face à des modifications légères (compression, ajustements de couleur, recadrage modéré).
Intégration native : appliqué dès la génération sur les modèles Google (Imagen, et les images produites via les outils Gemini).
Détection probabiliste : fournit un niveau de confiance plutôt qu'un binaire.

Les autres systèmes de marquage

SynthID n'est pas seul. L'écosystème se structure autour de plusieurs approches, parfois complémentaires.

Les filigranes propres aux fournisseurs

Plusieurs acteurs ont déployé leurs propres mécanismes. Certains modèles open source intègrent des watermarks invisibles par défaut dans leur pipeline. D'autres fournisseurs misent davantage sur les métadonnées de provenance que sur le marquage dans les pixels.

La complémentarité avec C2PA

Il faut distinguer deux familles : le watermark inscrit dans les pixels, et les métadonnées de provenance signées cryptographiquement. La norme C2PA (Content Credentials) relève de la seconde : elle attache au fichier un manifeste signé décrivant son origine et son historique. Watermark et C2PA sont complémentaires — le premier survit quand les métadonnées sont effacées, le second porte une information riche et vérifiable cryptographiquement. Nous détaillons ce standard dans notre article sur le C2PA et les Content Credentials.

Approche	Où réside l'information	Survit à la capture d'écran	Survit à l'effacement des métadonnées
Watermark invisible (SynthID)	Dans les pixels	Partiellement	Oui
Métadonnées C2PA	Dans l'en-tête du fichier	Non	Non
Watermark visible	Sur l'image	Oui	Oui
Analyse forensique	Reconstruite a posteriori	Oui	Oui

Comment un watermark est-il encodé dans les pixels ?

Comprendre les forces et limites des filigranes suppose de saisir, sans entrer dans les détails mathématiques, comment l'information y est dissimulée.

Le domaine spatial et le domaine fréquentiel

Les premières techniques de tatouage numérique modifiaient directement la valeur de certains pixels (domaine spatial), par exemple en ajustant le bit de poids faible de chaque pixel. Simple, mais fragile : la moindre recompression efface ces micro-variations. Les approches modernes opèrent plutôt dans le domaine fréquentiel : l'image est transformée (par DCT ou par ondelettes), et le marquage est inséré dans des coefficients de fréquence choisis pour leur robustesse. Le filigrane est ainsi étalé sur l'ensemble de l'image et résiste mieux aux transformations.

Le compromis robustesse / imperceptibilité / capacité

Tout système de watermark jongle avec trois objectifs antagonistes : la robustesse (survivre aux manipulations), l'imperceptibilité (rester invisible) et la capacité (quantité d'information encodée). Augmenter l'un dégrade généralement les autres. C'est pourquoi un filigrane de provenance robuste encode peu d'information — souvent juste un drapeau « contenu généré par IA » et une signature — plutôt qu'un long message. SynthID a précisément optimisé ce triangle pour les images, en privilégiant robustesse et invisibilité au détriment de la capacité.

Détection probabiliste, pas binaire

Point crucial : un détecteur de watermark ne répond pas par un simple oui/non, mais par un score de confiance. Sur une image légèrement dégradée, le signal s'affaiblit et la confiance baisse. Cette granularité est une force — elle évite les fausses certitudes — mais elle impose d'interpréter le résultat plutôt que de le prendre pour argent comptant.

La robustesse réelle : ce qui efface un watermark

C'est le cœur du problème. Un filigrane n'a de valeur que s'il survit aux manipulations qu'une image subit dans la vraie vie. Or les attaques, intentionnelles ou non, sont nombreuses.

Les transformations qui fragilisent le marquage

La capture d'écran : recréer l'image via une capture peut perturber ou supprimer le marquage selon le système, car les pixels sont rééchantillonnés.
Le recadrage agressif : retirer une grande portion de l'image réduit la quantité de signal disponible pour la détection.
La recompression répétée : enregistrer plusieurs fois en JPEG de faible qualité dégrade progressivement le filigrane.
Le redimensionnement et le rééchantillonnage : modifient la grille de pixels sur laquelle repose le marquage.
Les attaques adversariales : des outils spécifiquement conçus pour retirer les watermarks existent et progressent.

Le problème du marquage volontairement absent

La limite la plus fondamentale est structurelle : seul un fournisseur qui choisit d'intégrer un watermark le fait. Une image générée par un modèle open source non marqué, ou par un acteur malveillant qui désactive le marquage, ne portera aucun filigrane. L'absence de watermark ne prouve donc jamais qu'une image est authentique. C'est une asymétrie cruciale : la présence d'un watermark est informative, son absence ne l'est pas.

C'est exactement pour cette raison que le marquage ne peut pas être l'unique rempart, comme nous l'expliquons dans notre guide pour détecter une image générée par IA par une approche multi-couches.

Pourquoi le watermarking ne suffit jamais seul

Réunissons les limites : un watermark peut être absent (modèle non marqué), effacé (capture, recompression, attaque) ou tout simplement non détectable faute du bon détecteur. S'appuyer uniquement dessus reviendrait à déclarer authentique toute image dépourvue de marquage — une faille béante.

La nécessité d'un faisceau d'indices

La réponse robuste consiste à combiner plusieurs couches indépendantes :

Détection de watermark lorsque disponible (SynthID et autres).
Vérification de provenance via les métadonnées C2PA.
Analyse forensique du signal : ELA, statistiques de bruit, recherche d'artefacts de génération.
Détection par vision IA : un classifieur entraîné à distinguer le réel du synthétique.
Recherche d'image inversée pour retrouver le contexte d'origine.

Chaque couche compense les angles morts des autres. Un watermark effacé sera rattrapé par l'analyse forensique ; une image non marquée par la vision IA. C'est cette logique de convergence que met en œuvre TruthLens, en agrégeant ces signaux en un verdict consolidé plutôt qu'en s'appuyant sur un test unique.

Un déroulé de décision pratique

Lorsque vous recevez une image et voulez en évaluer l'origine, un flux tenant compte du watermark ressemble à ceci :

Rechercher un watermark connu (SynthID et autres détecteurs pris en charge). Une détection positive à haute confiance suggère fortement une origine IA.
Lire les métadonnées de provenance (Content Credentials C2PA) si présentes, pour voir ce que le fichier déclare de son histoire.
Si aucun marqueur n'est trouvé, ne pas s'arrêter. L'absence n'est pas informative en soi — passer à l'analyse forensique.
Lancer les couches forensiques : ELA pour les retouches, analyse du bruit capteur pour l'absence d'un vrai pipeline de capture, et un classifieur vision IA pour un score de probabilité.
Croiser avec la recherche d'image inversée pour retrouver le contexte, puis formuler un verdict motivé.

La discipline essentielle est l'étape 3 : ne jamais traiter un watermark absent comme un certificat de bonne santé. Les images les plus dangereuses sont précisément celles conçues pour ne porter aucun marqueur.

Le cas particulier des images DALL·E et GPT-4o

Les images produites par les outils d'OpenAI illustrent bien la complémentarité : elles embarquent des Content Credentials C2PA signalant leur origine IA. Mais ces métadonnées disparaissent au moindre partage via capture d'écran. Pour ces visuels, l'analyse forensique reste indispensable, comme détaillé dans notre article dédié à la détection des images générées par DALL·E.

Watermarking et cadre réglementaire

Le marquage des contenus IA n'est plus seulement une bonne pratique : il devient une obligation. L'AI Act européen impose des exigences de transparence pour les contenus générés par IA, incluant un marquage lisible par machine. Les filigranes invisibles comme SynthID s'inscrivent dans cette logique réglementaire.

Mais le législateur lui-même reconnaît les limites techniques : un marquage robuste « dans la mesure du possible » ne garantit pas l'indélébilité. La conformité ne dispense donc pas d'une capacité de vérification indépendante. Nous explorons ces obligations dans notre analyse de l'AI Act et la transparence des contenus IA.

Le watermarking côté création vs côté vérification

Il faut distinguer deux rôles. Le créateur d'un contenu (un studio, une plateforme, un fournisseur de modèle) appose un watermark pour signaler son origine de manière responsable. Le vérificateur (un journaliste, un assureur, un juriste), lui, reçoit une image dont il ignore tout et doit la qualifier. Or le vérificateur ne contrôle ni le marquage initial, ni sa survie. Il hérite d'une image potentiellement non marquée, recompressée, capturée. Son besoin n'est donc pas « lire le watermark » mais « obtenir un verdict, quel que soit l'état du marquage ». C'est exactement le rôle d'une analyse forensique multi-couches.

Vers une standardisation ?

L'industrie converge lentement vers des cadres communs. La coalition C2PA, qui réunit de grands acteurs technologiques et médias, pousse pour une provenance interopérable, et certains travaillent à articuler watermark et Content Credentials de façon complémentaire. Cette convergence est encourageante, mais elle prendra des années à se généraliser, et les contenus malveillants resteront, par définition, hors de ces standards. La vérification indépendante conserve donc tout son sens.

Pour les professionnels qui doivent produire une preuve opposable, la combinaison d'une détection de marquage, d'une vérification de provenance et d'une analyse forensique reste la voie la plus fiable. Vous pouvez analyser une image et vérifier la présence de marqueurs en quelques secondes.

FAQ

Un watermark invisible garantit-il qu'on détectera toujours une image IA ?

Non. Le watermark n'est présent que si le fournisseur a choisi de l'intégrer, et il peut être effacé par capture d'écran, recompression ou attaque dédiée. De plus, sa détection exige le bon détecteur. Sa présence est un indice fort d'origine synthétique, mais son absence ne prouve rien quant à l'authenticité.

SynthID fonctionne-t-il sur toutes les images IA ?

Non. SynthID ne marque que les contenus générés via les outils de Google qui l'intègrent. Une image produite par Midjourney, Stable Diffusion ou un modèle open source non marqué ne portera pas de filigrane SynthID. Le détecteur SynthID ne reconnaît que sa propre signature.

Faut-il préférer le watermark ou le C2PA ?

Les deux sont complémentaires. Le watermark survit mieux à l'effacement des métadonnées car il est inscrit dans les pixels, tandis que le C2PA porte une information de provenance riche et signée cryptographiquement, mais disparaît à la capture d'écran. Une stratégie robuste les combine, en plus de l'analyse forensique.

Comment vérifier une image quand aucun watermark n'est détecté ?

En s'appuyant sur les autres couches : vérification de provenance C2PA, analyse forensique du signal (ELA, bruit capteur), détection par vision IA et recherche d'image inversée. Une plateforme comme TruthLens agrège ces signaux pour produire un verdict motivé, même en l'absence totale de marquage.

Peut-on retirer un watermark invisible volontairement ?

Oui, dans une certaine mesure. Des outils d'attaque adversariale conçus pour effacer ou brouiller les filigranes existent, et des manipulations banales (capture d'écran, recompression agressive, redimensionnement) y parviennent souvent sans intention malveillante. C'est l'une des raisons pour lesquelles aucun système sérieux ne présente le watermark comme infaillible : il faut le considérer comme une couche parmi d'autres, jamais comme une garantie absolue.