La note qui annonce une nouvelle phase dans la guerre de l’IA

Hier, le 23 avril 2026, Michael Kratsios, directeur du Bureau de la politique scientifique et technologique de la Maison-Blanche et principal conseiller scientifique du président Trump, a publié sur X un mémorandum intitulé « Adversarial Distillation of American AI Models », adressé aux chefs des départements et agences fédérales. 

Le texte accuse formellement des entités étrangères, « principalement basées en Chine », de mener des campagnes coordonnées de piratage à grande échelle visant les modèles d’intelligence artificielle de pointe américains. Il engage également l’administration à partager des renseignements avec les laboratoires américains et à « explorer des mesures » pour poursuivre les acteurs étrangers responsables.

Le mémorandum s’inscrit dans une série d’accusations publiques de la part des grands laboratoires états-uniens.

Le 12 février 2026, OpenAI a adressé une lettre formelle à la Commission spéciale de la Chambre des représentants sur la Chine dans laquelle l’entreprise affirme observer « des activités évocatrices de tentatives continues de distillation » par DeepSeek de modèles de frontière états-uniens. 

Le 23 février 2026, la société Anthropic a publié une analyse détaillée accusant trois laboratoires chinois (DeepSeek, Moonshot AI et MiniMax) d’avoir généré plus de 16 millions d’échanges avec Claude via environ 24 000 comptes frauduleux, en utilisant des services de proxy commerciaux pour contourner les restrictions géographiques. MiniMax représenterait à lui seul plus de 13 millions de ces échanges, axés sur les capacités de codage agentique et l’utilisation d’outils. 

Le même jour, le Frontier Model Forum a publié une note technique de référence sur la « distillation hostile » (adversarial distillation), et le Google Threat Intelligence Group a confirmé, dans son rapport de février 2026, avoir observé des attaques d’extraction de modèles sur ses propres modèles.

La publication de ce mémorandum, que nous traduisons et commentons, est marquante à un autre titre : elle a lieu environ 12 heures avant le lancement public, le 24 avril 2026, de DeepSeek-V4, un modèle ouvert sous licence Apache 2.0 disposant d’une fenêtre de contexte de 1 million de tokens, publié simultanément sur Hugging Face et sur l’API officielle du laboratoire. Ses benchmarks en coding agentique (Codeforces 3206, SWE-Bench Pro 55.4) revendiquent une parité avec les meilleurs modèles fermés. Le mémorandum précède également de trois semaines le sommet Trump-Xi, prévu le 14 mai à Pékin, ce qui lui confère une valeur à la fois diplomatique et technique dans un contexte de possible escalade de la rivalité sino-américaine.

Mémorandum à l’attention des chefs des départements et agences de l’exécutif

De : Michael J. Kratsios @mkratsios47, Assistant du Président pour la science et la technologie, Directeur du Bureau de la politique scientifique et technologique

Michael Kratsios Les États-Unis sont les leaders mondiaux des technologies d’intelligence artificielle (IA). Cette avance est le fruit de décennies de recherche fondamentale, d’une prise de risque entrepreneuriale audacieuse et de centaines de milliards de dollars d’investissements privés annuels. Le leadership américain en matière d’IA stimule la croissance économique, renforce la sécurité nationale et fait progresser les frontières de la science, de la médecine et de la connaissance humaine. Les percées issues de l’industrie américaine élèvent le niveau de vie, élargissent les opportunités et améliorent la vie des gens dans le monde entier.

Cependant, le gouvernement des États-Unis dispose d’informations indiquant que des entités étrangères, principalement basées en Chine, mènent des campagnes délibérées et à échelle industrielle visant à distiller les systèmes d’IA de pointe américains. En s’appuyant sur des dizaines de milliers de comptes proxy pour échapper à la détection et en utilisant des techniques de contournement (jailbreaking) pour exposer des informations propriétaires, ces campagnes coordonnées extraient systématiquement les capacités des modèles d’IA américains, exploitant ainsi l’expertise et l’innovation américaines.

La distillation de connaissances (knowledge distillation) désigne le transfert des capacités d’un modèle d’IA à la frontière appelé le modèle enseignant (teacher) vers un modèle distillé ou étudiant (student). Formalisée en 2015 par Hinton, Vinyals et Dean, cette technique consiste au départ à entraîner le modèle étudiant non pas uniquement sur les bonnes réponses, mais sur la distribution de probabilités produite par le grand modèle, lui permettant d’apprendre non seulement quelle réponse est correcte, mais aussi le degré de confiance associé à chaque option.

Deepseek-V4 indique dans son rapport technique utiliser une forme de distillation appelée on-policy. Plutôt que de faire apprendre le modèle étudiant sur des séquences générées par le modèle enseignant, on laisse l’étudiant produire librement ses propres réponses et on mesure l’écart entre ces réponses et ce qu’aurait dit le modèle enseignant.

L’idée est simple : à l’inférence, le modèle travaille toujours à partir de ce qu’il a lui-même généré, pas de ce qu’un autre modèle aurait écrit. Il vaut donc mieux qu’il apprenne à se corriger dans les situations qu’il crée lui-même. Dans le cas de distillation des modèles états-uniens fermés, la pratique se rapproche davantage d’un entraînement supervisé classique : le modèle étudiant est entraîné à prédire les sorties textuelles du modèle enseignant, sans accès à la structure de ses préférences ni à ses niveaux de confiance. 

Les grands laboratoires d’IA comme OpenAI, Anthropic et Google coopèrent déjà pour limiter notamment le risque de distillation et protéger leur propriété intellectuelle au sein du Frontier Model Forum, un organisme à but non lucratif ayant pour but notamment d’établir des standards défensifs pour la sécurité des modèles.

Les modèles développés à partir de telles campagnes de distillation clandestines et non autorisées ne reproduisent pas l’ensemble des performances de l’original. Ils permettent néanmoins aux acteurs étrangers de mettre sur le marché des produits qui semblent offrir des performances comparables sur certains benchmarks, à une fraction du coût. 

Le mémorandum affirme que les modèles issus de distillation « ne reproduisent pas l’ensemble des performances de l’original » mais permettent « des performances comparables sur certains benchmarks, à une fraction du coût ». Cette formulation est prudente car, si la pratique elle-même est désormais documentée avec une solidité remarquable — Anthropic a retracé des comptes jusqu’à des chercheurs identifiables chez DeepSeek, avec des request metadata correspondant à leurs profils publics — quantifier la contribution causale de la distillation aux performances des modèles chinois reste un exercice difficile.

La rhétorique états-unienne s’appuie sur l’exposition des méthodes (24 000 comptes proxy, 16M d’échanges) plutôt que sur une décomposition de l’écart de performance. Or, les nouveaux paradigmes de post-training — RL à grande échelle, test-time scaling — rendent cette décomposition encore plus complexe : un modèle peut bénéficier d’un cold start distillé puis voir son comportement façonné majoritairement par du RL sur des environnements propres, ce qui dilue mécaniquement la « signature » du modèle professeur.

DeepSeek-V4, publié quelques heures après le mémo, revendique précisément des percées architecturales (compressed sparse attention, muon optimizer, 32T tokens de pré-entraînement en FP4/FP8 mixte) qui ne se réduisent pas à du mimétisme, même si la question de savoir si certaines capacités agentiques trouvent leur origine amont dans des sorties Claude ou GPT reste ouverte et probablement indémontrable.

Ces campagnes de distillation permettent également à ces acteurs de retirer délibérément les protocoles de sécurité des modèles ainsi obtenus et de défaire les mécanismes garantissant que ces modèles d’IA restent idéologiquement neutres et attachés à la recherche de la vérité.

Le mémorandum mentionne explicitement que les distillations hostiles « retirent les protocoles de sécurité » et défont les mécanismes de neutralité idéologique. Ce cadrage safety rejoint publiquement la position de Dario Amodei, CEO d’Anthropic, qui a déclaré au Financial Times le 20 avril 2026 que les laboratoires chinois et open source sont « à six à douze mois derrière Claude Mythos » — estimation frappante par son caractère borné : elle suggère que le rattrapage est une certitude à horizon d’un an, pas une éventualité à contenir indéfiniment. Amodei a par ailleurs déclaré qu’il « ne voit rien ralentir » les capacités de Mythos, tout en alertant sur des risques biosécuritaires d’ampleur comparable pouvant émerger dans le même intervalle. Cette position est convergente avec la reconnaissance, dans la communauté technique chinoise elle-même et dans le rapport technique de DeepSeek-V4, d’un écart estimé à environ six à sept mois avec les modèles américains — doublée d’une crainte que cet écart se creuse si l’accès aux chips de pointe reste contraint.

Enfin, comme l’a souligné Clément Delangue, l’argument implicite du mémorandum selon lequel les APIs fermées offriraient une barrière de sécurité supérieure aux modèles ouverts est fragile : si des laboratoires cliniquement identifiés peuvent exfiltrer 16 millions d’échanges via des dizaines de milliers de comptes proxy malgré une politique explicite de non-accès commercial à la Chine, la capacité de ces mêmes APIs à bloquer des acteurs étatiques hostiles, des biohackers ou des groupes criminels beaucoup plus sophistiqués sur des usages à risque réel est structurellement douteuse.

Le mémorandum identifie donc un problème réel — la captation asymétrique de la R&D états-unienne — sans trancher la question plus large de savoir si la fermeture est une stratégie de safety robuste, ou simplement une stratégie de monétisation qui a échoué à contenir ce qu’elle promettait de contenir.

Les États-Unis sont attachés au développement libre et équitable des technologies d’IA au sein d’un écosystème compétitif, allant des modèles de pointe aux systèmes appliqués hautement optimisés, et des frameworks open source aux modèles à poids ouverts (open-weight). La distillation d’IA, lorsqu’elle est utilisée de manière légitime pour produire des modèles plus petits et plus légers à partir de systèmes plus avancés, constitue une composante essentielle de cet écosystème. 

Le mémorandum distingue soigneusement la distillation « légitime » de la distillation « hostile », et réaffirme l’engagement américain envers « un écosystème compétitif […] dynamique ». Cette précaution rhétorique reflète une réalité économique difficile à ignorer : une part substantielle de l’écosystème applicatif états-unien construit déjà sa valeur au-dessus de modèles ouverts chinois.

Airbnb a publiquement confirmé en octobre 2025 qu’il « s’appuie beaucoup » sur Qwen d’Alibaba pour son agent de service client, Brian Chesky précisant que les modèles d’OpenAI étaient « plus rarement utilisés en production parce qu’il existe des modèles plus rapides et moins chers ». Cursor, valorisée 29,3 milliards de dollars, a reconnu en mars 2026 avoir construit son modèle de coding Composer 2 sur Kimi K2.5 de Moonshot révélation qui a conduit Clément Delangue, CEO de Hugging Face, à commenter que « l’open source chinois est désormais la force principale qui façonne la stack technique mondiale de l’IA ». Alibaba recense à elle seule plus de 170 000 modèles dérivés de Qwen.

Dans ce contexte, un durcissement qui reviendrait de facto à bannir ou entraver l’usage des poids ouverts chinois — option que le mémo se garde d’évoquer explicitement mais que plusieurs commentateurs anticipent — augmenterait mécaniquement la dépendance de l’économie états-unienne aux laboratoires fermés, dégradant la différenciation concurrentielle d’une couche entière de startups et posant un problème similaire pour la recherche académique, grande consommatrice de modèles Qwen et DeepSeek pour leur reproductibilité.

En revanche, les activités de distillation à l’échelle industrielle qui visent à saper systématiquement la recherche et le développement américains et à accéder à des informations propriétaires sont inacceptables.

Pour faire face à cette menace, l’administration Trump :

1. Partagera avec les entreprises américaines d’IA des informations concernant les tentatives d’acteurs étrangers de mener des distillations non autorisées à l’échelle industrielle, y compris les tactiques employées et les acteurs impliqués.
2. Permettra au secteur privé de mieux se coordonner contre de telles attaques.
3. Travaillera conjointement avec l’industrie privée pour élaborer des bonnes pratiques afin d’identifier, d’atténuer et de remédier aux activités de distillation à l’échelle industrielle, et pour bâtir de solides défenses contre ces activités.
4. Explorera un éventail de mesures visant à tenir les acteurs étrangers responsables des campagnes de distillation à l’échelle industrielle.

Les quatre mesures annoncées dans le mémorandum frappent surtout par leur prudence et leur caractère essentiellement défensif — ce qui contraste avec la rhétorique d’accusation qui les précède. Elles consistent à 1. partager du renseignement avec les entreprises d’IA états-uniennes , 2. faciliter la coordination du secteur privé, 3. développer avec l’industrie des bonnes pratiques de détection et de mitigation, et 4. « explorer » des mesures pour tenir les acteurs étrangers responsables. Aucun levier concret (sanction, restriction d’exportation additionnelle, poursuite judiciaire, interdiction de modèles) n’est nommé. Aucune mention n’est faite d’une restriction de l’usage de modèles ouverts chinois sur le  territoire des États-Unis.

Il n’y a rien d’innovant dans le fait d’extraire et de copier systématiquement les innovations de l’industrie américaine, et il n’y a rien d’ouvert dans de prétendus modèles ouverts qui sont issus d’actes d’exploitation malveillante.

À mesure que les méthodes permettant de détecter et d’atténuer la distillation à l’échelle industrielle deviennent plus sophistiquées, les entités étrangères qui bâtissent leurs capacités d’IA sur des fondations aussi fragiles ne devraient avoir que peu confiance dans l’intégrité et la fiabilité des modèles qu’elles produisent.

Conformément au Plan d’action américain pour l’IA (America’s AI Action Plan), les États-Unis continueront de favoriser un écosystème open-source dynamique bâti sur des fondations solides, de soutenir l’industrie américaine dans sa démarche visant à rendre l’IA de pointe largement accessible aux utilisateurs du monde entier, et de préserver la concurrence libre et équitable sur le marché qui permet la diffusion large et bénéfique de ces technologies.