Les progrès de l’IA améliorent autant la cyberprotection qu’ils n’offrent de nouveaux outils aux pirates. Ainsi, Claude Mythos, le nouveau modèle IA d’Anthropic pour détecter des failles logicielles, a-t-il été jugé trop sensible pour être rendu public. Pour autant, l’accès au modèle de test a tout de même été obtenu en combinant des identifiants tiers et des schémas d’infrastructure exposés.

« L’accès à Mythos n’a nécessité aucun vecteur d’attaque sophistiqué », constate Harman Kaur, la CTO de Tanium (cf. photo). « Il s’agissait simplement d’une défaillance de contrôle. L’URL de l’endpoint a été déduite de la syntaxe de nomenclature d’Anthropic qui avait déjà fait l’objet d’une fuite lors d’une précédente fuite de données sur Mercor, et les identifiants légitimes d’un sous-traitant ont permis de mener à bien l’opération. Pas de vulnérabilités zero-day, pas d’exploits inédits. Juste deux lacunes de gouvernance ordinaires qui se sont superposées. C’est vraiment la leçon à retenir. Au rythme où nous développons ces systèmes, la gouvernance et les contrôles sont faciles à négliger et ils parviennent rarement à suivre la vitesse de l’innovation ».

Et d’ajouter : « La surface d’attaque autour de l’IA est bien plus vaste que ce que la plupart des gens pensent. Elle inclut chaque fournisseur en contact avec le système, chaque sous-traitant disposant d’un accès, chaque composant middleware et chaque identifiant permettant d’atteindre l’une de ces couches. Le modèle Mythos n’a pas été piraté en cassant l’infrastructure centrale d’Anthropic. Il a été piraté via un fournisseur de données d’entraînement, un sous-traitant et un modèle d’URL prévisible. Cela ressemble à la façon dont le secteur s’est appuyé sur des outils de sécurité sophistiqués, tout en laissant des vulnérabilités non corrigées à la vue de tous ».

Une récente étude de la Fondation Thomson Reuters, menée en partenariat avec l’UNESCO auprès de 3.000 entreprises dans 11 secteurs, a par ailleurs révélé que 90% des entreprises du panel utilisaient l’IA sans cadre de gouvernance.

Selon Harman Kaur, il faut en revenir aux basiques de la cybersécurité : l’authentification multifactorielle (MFA), le principe du moindre privilège, la suppression rapide des droits d’accès, la supervision des fournisseurs et une mentalité de « présomption de violation ».

Nos lecteurs ont lu ensuite


Le Cloud Microsoft adoubé par les CNIL européennes : un propos exagéré
Dans un billet posté récemment sur le blog officiel de Microsoft, Brad Smith, directeur juridique et vice président exécutif de l’éditeur, déclare que ses services Cloud seraient conformes aux « high standards of EU privacy law »....

Sécuriser ses accès ERP : authentification, permissions et bonnes pratiques
L’ERP est le cœur des opérations d’une entreprise, centralisant des données stratégiques sur la gestion des finances, des clients, des fournisseurs et des stocks. Pourtant, un accès mal sécurisé à cet outil peut ouvrir la...

Un client d’Acronis victime d’une fuite de données
Un pirate surnommé kernelware prétend s’être introduit dans le réseau du spécialiste suisse de la cybersécurité Acronis et avoir fait fuiter en ligne plusieurs fichiers pesant un total de 12 gigaoctets. Il affirme avoir volé...

Le VOC, arme secrète des entreprises face aux cybermenaces
Quand le SOC sonne l’alarme, le VOC (Vulnerability Operations Center) ferme les verrous : ensemble, ils transforment la sécurité d’un réflexe défensif en stratégie proactive. L’enjeu ? Identifier et hiérarchiser les vulnérabilités avant qu’elles ne deviennent...

Facebook : les données de plus de 500 millions d’utilisateurs fuitent
Selon Business Insider, les informations personnelles de 533 millions d’utilisateurs de Facebook dans 106 pays ont été divulgués en ligne et gratuitement, samedi dernier, dans un forum de piratage. Parmi les données publiées : des numéros...