Les modèles d’apprentissage en profondeur sont de plus en plus utilisés comme composants clés des applications mobiles. Contrairement au bytecode de programme où les vulnérabilités et les menaces ont été largement discutées, il n’est pas clair si et comment les modèles d’apprentissage en profondeur déployés dans les applications sont compromis, car les réseaux de neurones sont souvent considérés comme des boîtes noires. Dans cet article, nous présentons une attaque de porte dérobée très pratique, qui est implémentée sur un modèle d’apprentissage en profondeur compilé via un ensemble de techniques d’ingénierie inverse. Le cœur de l’attaque est une branche de condition neuronale, qui se compose d’un détecteur de déclenchement et de plusieurs opérateurs, et est injectée dans le modèle victime en tant que charge utile malveillante. Cette attaque est efficace car l’attaquant peut personnaliser de manière flexible la logique conditionnelle, et parce qu’elle ne nécessite aucune connaissance préalable du modèle d’origine, elle est évolutive. Nous avons évalué l’efficacité de l’attaque à l’aide de 5 modèles d’apprentissage en profondeur à la pointe de la technologie et d’échantillons réels collectés auprès de 30 utilisateurs. Les résultats montrent que la porte dérobée injectée peut être déclenchée avec un taux de réussite de 93,5%, mais n’apporte qu’un délai inférieur à 2ms, et le taux de précision ne baisse pas de plus de 1,5%. Nous avons également mené des recherches empiriques sur de véritables applications mobiles d’apprentissage en profondeur collectées à partir de Google Play. Nous avons trouvé 54 applications vulnérables à nos attaques, y compris des applications populaires et critiques pour la sécurité. Jiayi Hua (Université des postes et télécommunications de Pékin), Haoyu Wang (Université des postes et télécommunications de Pékin), Chunyang Chen (Université Monash), Yunxin Liu (Institut de recherche Microsoft), Yuanchun Li (Institut de recherche Microsoft), *Bibliothèque numérique IEEE : Créé avec Crowe Allemagne :