Une nouvelle façon d’augmenter les privilèges au sein de Vertex AI de Google met en évidence un problème plus large : les entreprises ont un niveau de confiance dans les offres d’IA qui doit être fondamentalement réexaminé.
La découverte de nouvelles vulnérabilités d’élévation de privilèges dans Vertex AI de Google rappelle brutalement aux RSSI que la gestion des agents de service IA est une tâche sans précédent.
XM Cyber a signalé jeudi deux problèmes différents avec Vertex AI, dans lesquels les configurations par défaut permettent aux utilisateurs peu privilégiés de basculer vers des rôles d’agent de service plus privilégiés. Mais Google lui a dit que le système fonctionnait comme prévu.
« Le OWASP Agentic Top 10 vient de codifier l’abus d’identité et de privilèges, car ASI03 et Google nous ont immédiatement présenté une étude de cas », a déclaré Rock Lambros, PDG de la société de sécurité RockCyber. « Nous avons déjà vu ce film. Orca a découvert l’élévation des privilèges du stockage Azure, Microsoft l’a appelé « par conception ». Aqua a trouvé les chemins de mouvement latéraux d’AWS SageMaker, a déclaré AWS « fonctionnant comme prévu ». Les fournisseurs de cloud ont transformé la « responsabilité partagée » en une garantie de responsabilité pour leurs propres défauts non sécurisés. Les RSSI doivent cesser de croire que « géré » signifie « sécurisé » et commencer à auditer chaque identité de service attachée à leurs charges de travail d’IA, car les fournisseurs ne le font clairement pas à votre place.
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que le rapport est « une fenêtre sur la façon dont le modèle de confiance derrière Vertex AI de Google est fondamentalement mal aligné avec les principes de sécurité de l’entreprise ». Sur ces plates-formes, a-t-il déclaré : « Les agents de services gérés bénéficient d’autorisations étendues pour que les fonctionnalités d’IA puissent fonctionner immédiatement. Mais cette commodité se fait au détriment de la visibilité et du contrôle. Ces identités de service fonctionnent en arrière-plan, disposent de privilèges à l’échelle du projet et peuvent être manipulées par tout utilisateur qui comprend le comportement du système. »
Google n’a pas répondu à une demande de commentaire.
Les vulnérabilités, a expliqué XM Cyber dans son rapport, résident dans la manière dont les privilèges sont attribués aux différents rôles associés à Vertex AI. « Le rôle central des agents de service est le rôle des agents de service : des comptes de service spéciaux créés et gérés par Google Cloud qui permettent aux services d’accéder à vos ressources et d’effectuer des processus internes en votre nom. Étant donné que ces identités gérées invisibles sont nécessaires au fonctionnement des services, elles bénéficient souvent automatiquement d’autorisations étendues à l’échelle du projet », indique-t-il. « Ces vulnérabilités permettent à un attaquant disposant d’autorisations minimales de détourner des agents de service hautement privilégiés, transformant ainsi ces identités gérées invisibles en agents doubles qui facilitent l’élévation des privilèges. Lorsque nous avons divulgué les résultats à Google, leur raisonnement était que les services « fonctionnent actuellement comme prévu ».
XM Cyber a découvert qu’une personne contrôlant une identité avec des privilèges même minimes compatibles avec le rôle « Viewer » de Vertex AI, le niveau de privilège le plus bas, pouvait dans certaines circonstances manipuler le système pour récupérer le jeton d’accès de l’agent de service et utiliser ses privilèges dans le projet.
Gogia a déclaré que le problème était alarmant. « Lorsqu’un fournisseur de cloud affirme qu’un utilisateur peu privilégié étant capable de détourner une identité de service hautement privilégiée « fonctionne comme prévu », ce qu’il dit en réalité, c’est que votre modèle de gouvernance est subordonné à son architecture », a-t-il déclaré. « Il s’agit d’un défaut de conception structurelle qui confère de l’énergie à des composants dont la plupart des clients ne réalisent même pas l’existence. »
N’attendez pas que les vendeurs agissent
Le consultant en cybersécurité Brian Levine, directeur exécutif de FormerGov, était également préoccupé. « La décision judicieuse pour les RSSI est de mettre en place des contrôles compensatoires dès maintenant, car attendre que les fournisseurs redéfinissent le « comportement prévu » n’est pas une stratégie de sécurité », a-t-il déclaré.
Flavio Villanustre, RSSI du groupe LexisNexis Risk Solutions, a prévenu : « Un interne malveillant pourrait exploiter ces faiblesses pour s’accorder un accès plus large que celui normalement autorisé. » Mais, a-t-il déclaré, « il n’y a pas grand chose à faire pour atténuer le risque, si ce n’est, éventuellement, de limiter le rayon d’explosion en réduisant la portée de l’authentification et en introduisant des frontières de sécurité robustes entre elles. » Cependant, « cela pourrait avoir pour effet secondaire d’augmenter considérablement le coût, ce qui pourrait ne pas non plus constituer une option commercialement viable ».
Gogia a déclaré que le plus grand risque est qu’il s’agisse de failles qui passeront probablement inaperçues car les outils de sécurité de l’entreprise ne sont pas programmés pour les rechercher.
« La plupart des entreprises n’ont pas mis en place de surveillance du comportement des agents de service. Si l’une de ces identités est utilisée de manière abusive, cela ne ressemblera pas à un attaquant. Cela donnera l’impression que la plateforme fait son travail », a déclaré Gogia. « C’est ce qui rend le risque grave. Vous faites confiance à des composants que vous ne pouvez pas observer, contraindre ou isoler sans repenser fondamentalement votre posture cloud. La plupart des organisations enregistrent l’activité des utilisateurs mais ignorent ce que fait la plate-forme en interne. Cela doit changer. Vous devez surveiller vos agents de service comme s’ils étaient des employés privilégiés. Créez des alertes en cas de requêtes BigQuery, d’accès au stockage ou de comportement de session inattendus. L’attaquant ressemblera à l’agent de service, c’est donc là que la détection doit se concentrer. »
Il a ajouté : « Les organisations font confiance au code pour s’exécuter sous des identités qu’elles ne comprennent pas, effectuant des actions qu’elles ne surveillent pas, dans des environnements qu’elles supposent sûrs. C’est la définition classique du risque invisible. Et cela est amplifié dans les environnements d’IA, car les charges de travail de l’IA s’étendent souvent sur plusieurs services, croisent des ensembles de données sensibles et nécessitent une orchestration qui touche à tout, des journaux aux API. »
Ce n’est pas la première fois que Vertex AI de Google est découvert vulnérable à une attaque d’élévation de privilèges : en novembre 2024, Palo Alto Networks a publié un rapport révélant des problèmes similaires avec l’environnement Google Vertex AI, problèmes que Google avait signalés à Palo Alto à l’époque.
