Des chercheurs alertent sur le piratage des serveurs d’IA dans de multiples entreprises

Selon des chercheurs d’Oligo Security, des cyberattaques ciblent la puissance de calcul de l’IA pour miner de la crypto-monnaie, en exploitant une faille présente dans un logiciel open source populaire nommé Ray.

Un article de Thomas Brewster pour Forbes US – traduit par Lisa Deleforterie

Des chercheurs en cybersécurité ont averti que des pirates informatiques pourraient avoir pénétré dans des centaines d’entreprises en ciblant un logiciel open source appelé Ray, utilisé pour mettre à l’échelle des modèles d’IA.

Il s’agirait du premier exemple de cyberattaque exploitant des vulnérabilités spécifiquement liées à l’intelligence artificielle et découvertes dans des conditions réelles. Les chercheurs affirment qu’il existe des preuves que cette méthode a été utilisée pour attaquer au moins trois « grandes organisations très connues » et des dizaines d’autres plus petites.

Selon la startup en cybersécurité israélienne Oligo Security, qui a découvert ces attaques, les pirates ont fréquemment exploité cette faille pour installer des mineurs de crypto-monnaie sur les serveurs exposés. Ainsi, la puissance de calcul normalement utilisée pour l’entraînement des modèles d’IA était détournée vers la production de cryptomonnaies. Dans d’autres cas, les serveurs vulnérables ont laissé fuiter des « jetons » d’accès, permettant potentiellement aux attaquants d’accéder à diverses applications d’IA et d’entreprises, y compris OpenAI et Slack. Étant donné que certaines entreprises intègrent des fonctionnalités de traitement de transactions financières dans leurs applications d’IA, il est possible que les jetons d’accès au service de paiement Stripe aient également été compromis. Il reste à déterminer si ces pirates ont utilisé ces jetons pour voler de l’argent. OpenAI et Stripe n’ont pas répondu aux demandes de commentaire.

Dolleen Cross, porte-parole de Slack, a déclaré : « Il s’agit d’un incident malheureux et nous sommes désolés pour tous les clients qui ont été touchés ». Elle a précisé que la vulnérabilité n’était pas « inhérente à la plateforme Slack ».

Des experts, souhaitant préserver l’anonymat des entités piratées, ont révélé à Forbes que parmi les trois principales cibles, certaines sont des acteurs bien établis et pourraient avoir eu « des milliers de machines compromises ». Selon Gal Elbaz, cofondateur et directeur de la technologie chez Oligo, l’une des victimes opère dans le domaine de la recherche pharmaceutique, tandis qu’une autre est une université américaine de renom. Les chercheurs ont informé chacune de ces entités concernées de l’exploit détecté.

« Il s’agit d’une campagne active à l’heure actuelle », a déclaré M. Elbaz. « Ils s’attaquent à l’infrastructure de l’IA et l’exploitent pour gagner beaucoup d’argent. »

La vulnérabilité de Ray menace les entreprises technologiques

Ray est utilisé par certaines des plus grandes entreprises technologiques du monde, notamment Amazon, Uber et Intel, pour exécuter des charges de travail d’IA à forte intensité de calcul. Il s’agit d’un cadre qui facilite la mise en place de projets d’IA sur des serveurs distribués. En règle générale, une entreprise utilise Ray pour entraîner des modèles d’IA, puis les déploie dans ses applications. Cependant, une vulnérabilité alarmante a été découverte : de nombreux utilisateurs ont involontairement exposé des serveurs utilisant Ray sur Internet via une interface de programmation d’applications (API) non sécurisée, ne nécessitant ni clé ni mot de passe. Il était donc facile pour des pirates malveillants de trouver les serveurs ouverts et d’y installer des mineurs de crypto-monnaie et des logiciels malveillants.

Fin 2023, plusieurs groupes de chercheurs ont averti Anyscale, la société qui supervise le développement de Ray, que la possibilité d’exécuter du code à distance via l’API sans avoir besoin de mot de passe ou de clé constituait une vulnérabilité. Cependant, Anyscale a contesté cette affirmation, arguant qu’il s’agissait d’une fonctionnalité car les charges de travail distribuées doivent permettre à un serveur d’exécuter du code sur un autre.

Depuis qu’Oligo a révélé les attaques, Anyscale a commencé à concevoir une nouvelle fonctionnalité qui avertira les utilisateurs s’ils ont configuré leurs systèmes Ray de manière à ce qu’ils soient accessibles sur internet. Anna von Schmeling, porte-parole d’Anyscale, a déclaré qu’il était « de la responsabilité de l’utilisateur » de configurer Ray en toute sécurité, en se référant à ses directives, qui « déconseillent fortement d’exposer les clusters Ray à un trafic réseau non fiable ».

Les chercheurs d’Oligo ont la preuve que les pirates exploitaient les serveurs ouverts bien avant que quiconque n’avertisse Anyscale. « Certaines des machines concernées ont été compromises pendant plus d’un an », écrit l’entreprise dans un rapport fourni à Forbes avant sa publication.

Au cours de l’année écoulée, les experts en sécurité se sont inquiétés de voir des attaquants accéder à des charges de travail d’IA et modifier des modèles pour leur faire exécuter des actions involontaires et malveillantes, mais ces attaques montrent que le risque n’est pas théorique. « Ils l’ont déjà fait… et ça continue », a déclaré M. Elbaz.

Étant donné que les charges de travail d’IA distribuées nécessitent des centaines ou des milliers de processeurs pour fonctionner, une seule attaque peut entraîner la compromission de plusieurs machines, ont expliqué les chercheurs à Forbes. « Si les attaquants atteignent ces clusters, ils peuvent faire beaucoup de dégâts », a ajouté Guy Kaplan, directeur de recherche chez Oligo.

Berenice Flores, consultante senior en sécurité chez Bishop Fox, est l’une des chercheuses qui, l’année dernière, a averti Anyscale de l’existence de cette vulnérabilité, ainsi que de quatre autres, qui ont par la suite été corrigées. Elle a déclaré qu’il était « décevant » qu’Anyscale conteste la vulnérabilité. Marcello Salvati, chercheur chez Protect AI, qui a également divulgué certaines des vulnérabilités l’année dernière après leur découverte par le chercheur Sierra Heax, a déclaré à Forbes qu’il espérait qu’Anyscale « reconsidérerait sa position sur la question sous-jacente de la livraison d’un produit avec des paramètres par défaut non sécurisés ».

« Étant donné l’importance de la base d’utilisateurs, le simple fait de déployer des modèles de sécurité API de base contribuerait grandement à protéger leurs utilisateurs », a ajouté Dan McInerney, collègue de M. Salvati.

À lire également : Les autorités fédérales US ordonnent à Google de fournir les informations de certains utilisateurs de YouTube