« On a découvert que là où il y a de l’IA, il y a de la faille. » – Anonyme
Vous croyez que les seules surprises du vendredi soir sont des happy hours ? Détrompez-vous ! Hugging Face, une startup innovante spécialisée dans l’IA, a récemment eu un petit réveil avant l’aube. La semaine dernière, son équipe de sécurité a détecté ce que l’on pourrait appeler un « visiteur non invité » sur Spaces, leur plateforme pour créer, partager et héberger des modèles et ressources en intelligence artificielle.
Dans un billet de blog, Hugging Face a expliqué que l’intrusion concernait les secrets de Spaces – ces petits bouts d’information privés qui servent de clés pour accéder à des ressources protégées comme des comptes, des outils et des environnements de développement. Bien que l’on sache que certains secrets ont peut-être été compromis, Hugging Face a fait preuve de prudence et a révoqué plusieurs de ces fameux tokens (petits jetons qui vérifient les identités).
Mais ce n’est pas tout, nos amis de Hugging Face recommandent désormais à tout le monde de rafraîchir ces clés et tokens et de passer à des tokens à accès finement réglé, soi-disant plus sûrs. Vous êtes dans cette situation ? Ne paniquez pas, vous avez probablement déjà reçu un e-mail de leur part.
« Parce qu’être prudents, c’est être prévoyants. »
Pour savoir combien de personnes ou d’applications ont été affectées, c’est encore un grand mystère. Pourtant, Hugging Face ne fait pas cavalier seul : ils travaillent avec des spécialistes en cybersécurité pour enquêter sur cet incident. Ils ont même fait appel aux forces de l’ordre et aux autorités de protection des données. Plutôt rassurant, non ?
Un porte-parole de Hugging Face, répondant par courriel à TechCrunch, a partagé que les attaques cybernétiques ont augmenté significativement ces derniers mois. Qu’est-ce qui attire autant les pirates ? Eh bien, l’usage croissant de leur plateforme et l’intérêt toujours plus grand pour l’IA. Cerise sur le gâteau ? Le nombre exact de secrets compromis reste, pour l’instant, un casse-tête technique.
Cette attaque survient alors que Hugging Face est sous le feu des projecteurs pour ses pratiques de sécurité. En avril dernier, Wiz, une société de sécurité cloud, a révélé une vulnérabilité devant permettre aux attaquants d’exécuter du code malveillant. Plus tôt dans l’année, JFrog a découvert du code malhonnête qui installait des portes dérobées. Pas rassurant, quand on y pense.
Pour s’améliorer, Hugging Face s’est allié avec Wiz. Le but? Utiliser leurs outils de scan de vulnérabilité et de configuration d’environnement cloud histoire de renforcer la sécurité de leur plateforme et, pourquoi pas, celle de l’écosystème IA/ML au sens large.
S’il est donc prouvé que même les plus gros poissons de l’IA peuvent nager dans des eaux troubles, rassurez-vous : Hugging Face fait tout pour que leurs secrets restent, eh bien, des secrets. Et n’oubliez jamais : avec l’IA, il ne faut jamais baisser sa garde, sinon, on finit par attraper… un virus de la curiosité !
Source : Techcrunch
