Une IA peut lire un autre contrat que celui affiché à l'écran : la démo Noroboto révèle les « lexploits ». Risques et parades pour la revue contractuelle.
Une IA peut-elle lire un autre texte que celui affiché dans un contrat ?
Oui. En mai 2026, l'équipe de Tritium Legal Technologies et le collectif LegalQuants ont publié Noroboto, une démonstration d'une nouvelle classe de vulnérabilités qu'ils nomment les « lexploits ». Le principe : une police de caractères embarquée dans un fichier Word ou PDF affiche un glyphe lisible pour l'œil humain, mais déclare à la machine un caractère différent. À l'écran, le contrat désigne la loi du Maryland ; à l'extraction, l'IA lit Delaware. Le vrai risque n'est pas une analyse globalement fausse, vite repérée, mais l'erreur ponctuelle sur un point décisif au milieu d'une synthèse par ailleurs irréprochable. La parade tient en une formule : faire confiance, mais vérifier, c'est-à-dire comparer le texte déclaré par la police au texte réellement rendu par lecture image, puis mettre en quarantaine tout écart. Avant de se demander si l'IA a bien raisonné, il faut s'assurer qu'elle a lu le bon document.
Un contrat peut afficher une chose à l'écran et en dire une autre à la machine qui le « lit ». L'écart paraît absurde, mais il est désormais documenté. En mai 2026, l'équipe de Tritium Legal Technologies, avec le collectif LegalQuants, a publié une démonstration baptisée Noroboto qui illustre précisément ce décalage. Ses auteurs la rangent dans une catégorie de vulnérabilités à la frontière du droit et de l'automatisation, qu'ils nomment les « lexploits ».
Pour les directions juridiques qui automatisent l'extraction de clauses, la revue contractuelle ou la recherche documentaire, le sujet mérite quelques minutes d'attention.
L'IA ne lit pas votre document
Un juriste lit le contrat tel qu'il s'affiche : le texte, la mise en page, les tableaux, les annexes. Un système d'IA, lui, ne voit presque jamais cette version. Il reçoit une représentation reconstruite par une chaîne technique qui importe le fichier, en extrait le texte, le découpe, l'indexe, puis le transmet au modèle de langage.
Tant que cette chaîne reste fidèle, tout va bien. Le problème commence quand la représentation transmise à l'IA s'écarte de ce que l'humain a sous les yeux. Cet écart peut être accidentel. Il peut aussi être provoqué.
Une police qui ment
Les fichiers Word et PDF peuvent embarquer leurs propres polices de caractères. C'est une fonction utile, voire indispensable en droit : elle garantit que le document s'affiche à l'identique partout et que la pagination, sur laquelle peuvent reposer des effets juridiques, ne bouge pas.
Une police contient une table de correspondance entre un caractère logique, son point de code Unicode, et la forme dessinée à l'écran, le glyphe. Noroboto exploite cette table. La police embarquée affiche un glyphe parfaitement lisible pour l'œil humain, mais déclare à la machine un caractère différent.
L'exemple retenu par les auteurs est parlant. À l'écran, le contrat désigne la loi du Maryland. À l'extraction, la machine lit Delaware. Transposé à une somme, un lecteur pourrait voir deux millions là où le modèle comprend un million.
Pourquoi c'est un sujet de direction juridique
On pourrait croire à une question purement technique, du ressort de la cybersécurité. C'est une erreur. Les outils de legal ops, de la gestion contractuelle aux copilotes de revue, reposent sur des champs extraits automatiquement : la loi applicable, la durée et ses conditions de reconduction, le prix et ses mécanismes d'indexation, les obligations de confidentialité et leurs exceptions.
Le danger n'est pas que l'IA se trompe partout. Une analyse globalement fausse se repère vite. Le vrai risque, c'est l'erreur ponctuelle sur un point décisif, au milieu d'une synthèse par ailleurs irréprochable. Le rapport paraît solide. Une seule donnée a basculé.
La voie rapide contre la voie coûteuse
Pourquoi les outils se laissent-ils prendre ? À cause d'un arbitrage de performance.
Pour lire un document, un système peut suivre deux chemins. Le premier lit directement la structure du fichier et en extrait le texte tel qu'il est déclaré : c'est rapide et peu coûteux, mais cela revient à croire le document sur parole. Le second affiche visuellement le document puis le « photographie » par reconnaissance optique de caractères, l'OCR : plus robuste face à une police trompeuse, mais nettement plus lent et plus gourmand en ressources.
Les auteurs de Noroboto résument d'un mot le comportement observé des agents : la paresse. Tant que le texte déclaré semble cohérent, le système emprunte la voie rapide et ne vérifie pas par l'image. C'est précisément cette préférence que l'attaque par remplacement vient piéger.
Faire confiance, mais vérifier
La parade tient dans une formule que les auteurs reprennent à leur compte : faire confiance, mais vérifier.
Le contrôle de fidélité
Le cœur du dispositif est un contrôle de fidélité. Il s'agit de comparer ce que la police prétend afficher avec ce qu'une lecture par l'image restitue réellement. Dans leur démonstration, l'équipe de Tritium génère une planche de caractères de référence, la soumet à l'OCR et calcule un score d'exactitude. Toute valeur inférieure à la perfection signale une police potentiellement trompeuse et justifie une mise en quarantaine du document.
Deux réflexes de gouvernance
Autour de ce contrôle, deux réflexes de gouvernance complètent la défense :
- En amont, mieux vaut maîtriser les formats entrants et convertir les documents vers une représentation de référence plutôt que d'ingérer n'importe quel fichier en l'état.
- En aval, certains champs méritent un statut particulier : sur la loi applicable ou sur les montants, une double lecture ou une validation humaine reste justifiée avant toute décision.
Par où commencer
Inutile de tout refondre. Quelques étapes réalistes suffisent à réduire l'exposition :
- Recenser les outils en service et déterminer, pour chacun, s'il lit la structure du fichier ou s'il passe par l'image.
- Trier les usages selon leur criticité, car une note de synthèse interne et une clause de prix n'appellent pas la même vigilance.
- Sur les flux les plus sensibles, mettre en place un simple contrôle de cohérence entre texte déclaré et texte rendu, qui apporte déjà une sécurité tangible.
- Rappeler aux équipes qu'une IA peut lire un autre texte que celui affiché. La phrase surprend, puis elle change durablement le regard porté sur l'outil.
Ce qu'il faut retenir
La performance d'un modèle ne garantit pas la fiabilité du résultat. Entre les deux se glisse la qualité de ce que le modèle reçoit vraiment. Noroboto n'est aujourd'hui qu'une démonstration, mais elle déplace utilement la question : avant de se demander si l'IA a bien raisonné, il faut s'assurer qu'elle a lu le bon document.
Pour les directions juridiques et les cabinets, la sécurisation de cette chaîne de lecture fait désormais partie de la conformité des usages d'IA. En tant qu'avocat en IA, nous aidons les professionnels du droit à auditer et gouverner ces outils, à travers notre accompagnement des professionnels du droit et nos formations à l'IA.
Source : Drew Miller, « Noroboto: Lying Fonts and Mitigation in Rust », Tritium Legal Technologies, 22 mai 2026 (tritium.legal/blog/noroboto), et l'analyse publiée par le collectif LegalQuants.
Questions fréquentes
Qu'est-ce qu'un « lexploit » ?
Un lexploit est une classe de vulnérabilités à la frontière du droit et de l'automatisation, où un document affiche un texte à l'humain mais en transmet un autre à la machine qui l'analyse. La démonstration Noroboto, publiée en mai 2026 par Tritium Legal Technologies et le collectif LegalQuants, en est le premier exemple documenté.
Comment une police de caractères peut-elle tromper une IA ?
Une police embarquée dans un fichier Word ou PDF contient une table de correspondance entre un caractère logique, son point de code Unicode, et le glyphe affiché à l'écran. Noroboto affiche un glyphe parfaitement lisible pour l'œil, mais déclare à la machine un caractère différent. L'IA lit alors un autre texte que celui affiché : le contrat désigne le Maryland à l'écran, mais l'extraction lit Delaware.
Comment se protéger d'une attaque de type Noroboto ?
Le cœur de la parade est un contrôle de fidélité qui compare le texte déclaré par la police au texte restitué par une lecture image (OCR), et met en quarantaine tout écart. S'y ajoutent deux réflexes de gouvernance : maîtriser les formats entrants en convertissant les documents vers une représentation de référence, et réserver une double lecture ou une validation humaine aux champs critiques comme la loi applicable ou les montants.