Cyber en Europe – ENISA : des sources inventées par l’IA découvertes dans ses rapports officiels
C’est une nouvelle qui fait tache pour l'ENISA (Agence de l'Union européenne pour la cybersécurité) : deux rapports récents contiennent des erreurs laissant entendre qu'il s'agit d'hallucinations de la part d'une IA.
Des erreurs caractéristiques...
Cette affaire concerne deux rapports publiés par l'ENISA en octobre et novembre 2025. On peut s'attendre à des lectures faisant office de référence lorsque les documents proviennent de cette agence, mais il y a un hic. Des chercheurs de la Westfälische Hochschule (Université des sciences appliquées de Westphalie) ont eu la puce à l'oreille en lisant certains passages des documents.
Une quantité importante de liens hypertextes cités en bas de page ne menaient nulle part. Alors, vous allez me dire, il peut s'agir d'un changement sur le site web cible. Mais, selon une enquête du magazine Der Spiegel, sur un seul des rapports, pas moins de 26 notes de bas de page sur 492 étaient incorrectes. Cela fait tout de même beaucoup....
En réalité, la nature de ces erreurs indique l'usage d'un LLM et donc de l'IA, avec des incohérences typiques des "hallucinations IA" :
- La structure des URL inventées mélangeait des contextes sémantiques,
- Par exemple, un lien censé pointer vers une page Microsoft au sujet du groupe de hackers russes "APT29" intégrait ce nom dans l'URL. Or, Microsoft utilise systématiquement la terminologie "Midnight Blizzard" pour désigner ce groupe, et non "APT29".
Christian Dietrich, chercheur et professeur à la Westfälische Hochschule, ne cache pas son exaspération : la vérification des sources et des informations, c'est la base. "Ce qui me dérange le plus, c'est qu'une autorité publique, qui a à mes yeux la tâche très importante d'émettre des rapports fiables et traçables, ne l'ait pas fait dans ce cas. [...] Il aurait suffi d'un clic.", a-t-il précisé.
De son côté, le Chaos Computer Club a qualifié cet incident d'embarrassant : "L'ENISA est censée être le point de contact central pour l'expertise indépendante, les directives et les normes en Europe. Si un travail aussi bâclé est effectué même dans les rapports de menaces très superficiels, cela jette une très mauvaise lumière sur l'institution."
La version de l'ENISA : l'erreur humaine
Contactée par les journalistes de Der Spiegel, l'ENISA a évoqué des lacunes associées à des erreurs humaines. L'IA a été autorisée uniquement pour effectuer des "révisions éditoriales mineures". Mais tout porte à croire que l'utilisation de l'IA va au-delà de la simple révision.
Le problème ici, ce n'est pas tant l'utilisation de l'IA, c'est plutôt la négligence de la part des auteurs de ces rapports. Ce n'est probablement pas une faute de moyens financiers : le budget de l'ENISA est de 27 millions d'euros.
Au-delà de la perte de crédibilité, ces erreurs représentent un risque en matière de propagation de fausses informations validées par le sceau d'une agence de l'UE...
Image d'illustration créée avec l'IA.
