Sommaire
L’intelligence artificielle c’est le feu en ce moment. Mais attention, ça brûle aussi niveau cybersécurité ! Protect AI tire la sonnette d’alarme : les failles zero day dans les applis d’IA ont bondi de 220% depuis novembre dernier. Pas très rassurant tout ça…
Concrètement, en avril 2024, pas moins de 48 vulnérabilités zero day ont été découvertes dans des projets open source d’IA largement utilisés comme MLFlow, Ray ou Triton Inference Server. C’est 3 fois plus que les 15 vulnérabilités signalées en novembre 2023 !
En avril 2024, 48 vulnérabilités zero day ont été découvertes dans l’IA, soit une augmentation de 220% depuis novembre 2023.
La menace la plus répandue ? L’exécution de code à distance (RCE) qui permet à un hacker malintentionné de prendre le contrôle total d’un système sans y avoir accès physiquement. Bonjour les dégâts potentiels : vol de données, blocage du système, etc.
Des vulnérabilités « old school » qui refont surface dans l’IA
Marcello Salvati, chercheur chez Protect AI, pointe du doigt deux failles particulièrement critiques : les RCE dans PyTorch Serve et BentoML. En clair, elles ouvrent en grand les portes des serveurs exécutant ces outils d’IA aux pirates. Un jeu d’enfant à exploiter en plus, vu que ces serveurs d’inférence sont exposés aux utilisateurs.
Mais le plus surprenant, c’est le retour en force de vulnérabilités basiques d’applications web qu’on pensait disparues grâce aux frameworks sécurisés et aux bonnes pratiques de code. Eh bien non, elles sont de retour en force dans les projets d’IA/ML ! De quoi se poser des questions sur la maturité sécurité de ce domaine en plein boom…
Tu veux en savoir plus sur "protect / rce" ? 😎
Pourquoi une formation RGPD peut-elle être bénéfique pour votre CV ?
Une formation RGPD en ligne est nécessaire pour tout poste traitant les informations personnelles de personnes physiques ou d’autres entreprises. La politique de confidentialité de beaucoup…
L’adoption effrénée d’outils d’IA immatures, un risque majeur
Le succès fulgurant des outils de traitement du langage (LLM) comme ChatGPT pousse les entreprises à adopter dare-dare des projets d’IA pas toujours au point niveau sécurité. Résultat, on déploie à tout va des solutions vulnérables, sans évaluer correctement les risques ni tester en profondeur.
Pour Protect AI, il est urgent de muscler la sécurité des environnements de dev IA. Comment ? En appliquant le principe du moindre privilège, en adoptant le modèle « Zero Trust » et surtout en formant les développeurs IA aux bases de la sécurité et aux bonnes pratiques de code. Sans oublier d’auditer en interne les nouveaux outils avant de les déployer.
2024, l’année de tous les dangers pour la cybersécurité IA ?
Vu la vitesse à laquelle le domaine de l’IA évolue, difficile de prédire de quoi demain sera fait. Une chose est sûre pour Marcello Salvati : « Les entreprises seront plus souvent victimes d’atteintes à la sécurité parce qu’elles auront adopté ces outils à toute vapeur ». Pas très réjouissant comme perspective…
En attendant, les géants de la tech comme Microsoft doivent rester sur le qui-vive. Le dernier Patch Tuesday de février 2024 a d’ailleurs corrigé pas moins de 73 failles, dont 2 zero day activement exploitées. À commencer par une vulnérabilité critique dans Exchange Server permettant à un attaquant de s’authentifier en tant qu’utilisateur ciblé. Ambiance !
Vulnérabilité | Impact | Corrigée |
---|---|---|
CVE-2024-21351 (SmartScreen) | Exécution de code, exposition de données | Oui |
CVE-2024-21412 (mark of the web) | Contournement des contrôles de sécurité | Oui |
CVE-2024-21410 (Exchange) | Élévation de privilèges | Oui |
Ce tableau résume les principales failles zero day corrigées par Microsoft en février 2024, avec leur impact potentiel. Des brèches critiques qui donnent froid dans le dos !
L’arme fatale contre les zero day : rester à jour !
Face à cette déferlante de vulnérabilités zero day liées à l’IA, pas de solution miracle. La clé, c’est de mettre en place une stratégie de sécurité robuste : appliquer rapidement les patchs de sécurité, former les équipes, durcir les configurations, surveiller en continu son système, etc.
Parce qu’une chose est sûre : les hackers ne vont pas se priver d’exploiter la moindre faille dans cette IA en plein boom. Aux entreprises de muscler leurs défenses pour éviter la catastrophe. La partie ne fait que commencer, et elle s’annonce serrée !
En tout cas, une chose est sûre : l’IA va bouleverser la cybersécurité, en bien comme en mal. À nous de faire pencher la balance du bon côté en restant vigilants et en faisant de la sécurité une priorité. Sinon, gare aux mauvaises surprises ! Allez, hauts les cœurs, on ne va pas se laisser impressionner par quelques zeros et quelques uns, si ? 😉
Tu veux en savoir plus sur "Microsoft" ? 😎
Microsoft Révèle en Silence: Les Produits que les Pros vont adorer!
Découvrez en détail les récentes innovations de Microsoft, dévoilées subrepticement, qui promettent d'enthousiasmer les professionnels du numérique, en les plongeant dans un univers technologique à…