Des escrocs détournent et revendent des infrastructures d’IA : rapport

Dans un rapport publié mercredi, les chercheurs de Pillar Security affirment avoir découvert des campagnes à grande échelle ciblant les points de terminaison LLM et MCP exposés – par exemple, un chatbot de support alimenté par l’IA sur un site Web.

« Je pense que c’est alarmant », a déclaré Ariel Fogel, co-auteur du rapport. « Ce que nous avons découvert est un véritable réseau criminel dans lequel des personnes tentent de voler vos informations d’identification, de voler votre capacité à utiliser les LLM et vos calculs, puis de les revendre. »

« Cela dépend de votre application, mais vous devriez agir assez rapidement en bloquant ce type de menace », a ajouté le co-auteur Eilon Cohen. « Après tout, vous ne voulez pas que vos ressources coûteuses soient utilisées par d’autres. Si vous déployez quelque chose qui a accès à des actifs critiques, vous devriez agir maintenant. »

Kellman Meghu, directeur de la technologie de la société canadienne de réponse aux incidents DeepCove Security, a déclaré que cette campagne « ne fera que se développer et entraîner des impacts catastrophiques. Le pire, c’est le niveau bas des connaissances techniques nécessaires pour exploiter cela ».

Quelle est l’ampleur de ces campagnes ? Au cours des dernières semaines seulement, les honeypots des chercheurs ont capturé 35 000 sessions d’attaque à la recherche d’infrastructures d’IA exposées.

« Il ne s’agit pas d’une attaque ponctuelle », a ajouté Fogel. « C’est une entreprise. » Il doute qu’un État-nation soit derrière tout cela ; les campagnes semblent être menées par un petit groupe.

Les objectifs : voler des ressources de calcul pour les utiliser par des requêtes d’inférence LLM non autorisées, revendre l’accès aux API à des tarifs réduits via des marchés criminels, exfiltrer les données des fenêtres de contexte LLM et de l’historique des conversations, et pivoter vers les systèmes internes via des serveurs MCP compromis.

Deux campagnes

Les chercheurs ont jusqu’à présent identifié deux campagnes : l’une, baptisée Operation Bizarre Bazaar, cible les LLM non protégés. L’autre campagne cible les points de terminaison du Model Context Protocol (MCP).

Il n’est pas difficile de trouver ces points de terminaison exposés. Les acteurs malveillants à l’origine de ces campagnes utilisent des outils familiers : les moteurs de recherche IP Shodan et Censys.

À risque : organisations exécutant une infrastructure LLM auto-hébergée (telle qu’Ollama, un logiciel qui traite une requête adressée au modèle LLM derrière une application ; vLLM, similaire à Ollama mais pour les environnements hautes performances ; et les implémentations locales d’IA) ou celles déployant des serveurs MCP pour les intégrations d’IA.

Les cibles comprennent :

• points de terminaison exposés sur les ports par défaut des services d’inférence LLM courants ;
• accès API non authentifié sans contrôles d’accès appropriés ;
• environnements de développement/stade avec adresses IP publiques ;
• Serveurs MCP connectant les LLM aux systèmes de fichiers, aux bases de données et aux API internes.

Les erreurs de configuration courantes exploitées par ces acteurs malveillants incluent :

• Ollama fonctionnant sur le port 11434 sans authentification ;
• API compatibles OpenAI sur le port 8000 exposées à Internet ;
• Serveurs MCP accessibles sans contrôle d’accès ;
• développement/mise en scène d’une infrastructure d’IA avec des adresses IP publiques ;
• points de terminaison de chatbot de production (support client, robots de vente) sans authentification ni limitation de débit.

Les défenseurs doivent traiter les services d’IA avec la même rigueur que les API ou les bases de données, a-t-il déclaré, en commençant par l’authentification, la télémétrie et la modélisation des menaces au début du cycle de développement. « Alors que MCP devient la base des intégrations modernes de l’IA, la sécurisation de ces interfaces de protocole, et pas seulement de l’accès aux modèles, doit être une priorité », a-t-il déclaré.

Leur rapport décrivait trois éléments de la campagne Bizarre Bazaar :

• le scanner: une infrastructure de robots distribués qui sonde systématiquement Internet à la recherche de points de terminaison d’IA exposés. Chaque instance Ollama exposée, chaque serveur vLLM non authentifié et chaque point de terminaison MCP accessible est catalogué. Une fois qu’un point final apparaît dans les résultats de l’analyse, les tentatives d’exploitation commencent en quelques heures ;
• le validateur: Une fois que les scanners ont identifié les cibles, l’infrastructure liée à un site criminel présumé valide les points de terminaison via des tests API. Au cours d’une fenêtre opérationnelle concentrée, l’attaquant a testé les clés API réservées, énuméré les capacités du modèle et évalué la qualité des réponses ;
• le marché: Un accès à prix réduit à plus de 30 fournisseurs LLM est vendu sur un site appelé . Il est hébergé sur une infrastructure pare-balles aux Pays-Bas et commercialisé sur Discord et Telegram.

Jusqu’à présent, selon les chercheurs, ceux qui achètent l’accès semblent être des personnes qui construisent leur propre infrastructure d’IA et tentent d’économiser de l’argent, ainsi que des personnes impliquées dans les jeux en ligne.

Les auteurs de la menace ne volent peut-être pas seulement l’accès à l’IA à partir d’applications entièrement développées, ont ajouté les chercheurs. Un développeur essayant de prototyper une application et qui, par négligence, ne sécurise pas un serveur pourrait également être victime d’un vol d’informations d’identification.

Joseph Steinberg, un expert américain en IA et en cybersécurité, a déclaré que le rapport est une autre illustration de la façon dont les nouvelles technologies comme l’intelligence artificielle créent de nouveaux risques et de la nécessité de nouvelles solutions de sécurité au-delà des contrôles informatiques traditionnels.

Atténuation

• activer l’authentification sur tous les points de terminaison LLM. Exiger une authentification élimine les attaques opportunistes. Les organisations doivent vérifier qu’Ollama, vLLM et les services similaires nécessitent des informations d’identification valides pour toutes les demandes ;
• auditer l’exposition du serveur MCP. Les serveurs MCP ne doivent jamais être directement accessibles depuis Internet. Vérifiez les règles de pare-feu, examinez les groupes de sécurité cloud, confirmez les exigences d’authentification ;
• bloquer les infrastructures malveillantes connues. Ajoutez le sous-réseau 204.76.203.0/24 pour refuser les listes. Pour la campagne de reconnaissance MCP, bloquer les champs de tir AS135377 ;
• mettre en œuvre une limitation de débit. Arrêtez les tentatives d’exploitation en rafale. Déployez des règles WAF/CDN pour les modèles de trafic spécifiques à l’IA ;
• auditer l’exposition des chatbots de production. Chaque chatbot, assistant commercial et agent IA interne en contact avec le client doit mettre en œuvre des contrôles de sécurité pour éviter les abus.

N’abandonne pas

Malgré le nombre d’articles de presse au cours de l’année écoulée sur les vulnérabilités de l’IA, Meghu a déclaré que la réponse n’est pas d’abandonner l’IA, mais de maintenir des contrôles stricts sur son utilisation. « Ne vous contentez pas de l’interdire, mettez-le en lumière et aidez vos utilisateurs à comprendre le risque, mais travaillez également sur des moyens leur permettant d’utiliser l’IA/LLM d’une manière sûre qui profite à l’entreprise », a-t-il conseillé.

« Il est probablement temps de proposer une formation dédiée à l’utilisation et aux risques de l’IA », a-t-il ajouté. « Assurez-vous de prendre en compte les commentaires des utilisateurs sur la manière dont ils souhaitent interagir avec un service d’IA et assurez-vous de le soutenir et de le devancer. Le simple fait de l’interdire envoie les utilisateurs dans un domaine informatique fantôme, et l’impact de cela est trop effrayant pour risquer que des personnes le cachent. Adoptez-le et intégrez-le à vos communications et à votre planification avec vos employés. «