À l'intérieur du piège des proxys : comment les hackers cartographient les passerelles d’IA pour de futures attaques

Pendant un jour férié tranquille, alors que la plupart des gens déballaient des cadeaux, une chasse d’un autre genre avait lieu sur Internet. Des acteurs malveillants - certains évoluant dans la zone grise entre le bien et le mal - sondaient des milliers de points d’accès, à la recherche d’équivalents numériques de portes non verrouillées. Leur cible : des proxys mal configurés pouvant ouvrir l’accès à de puissants services de grands modèles de langage (LLM) payants comme GPT-4, Claude et Gemini. L’ampleur et la sophistication de cette campagne ont provoqué des remous dans le monde de la cybersécurité, soulevant des questions urgentes sur le prochain grand champ de bataille de la sécurité de l’IA.

Anatomie d’un braquage de proxy

Selon GreyNoise, une plateforme de surveillance des menaces de premier plan, la dernière vague d’attaques a commencé fin décembre, mais des traces médico-légales révèlent une activité remontant à plusieurs mois. Les attaquants ne sont pas des cybercriminels ordinaires. Utilisant des techniques plus souvent observées dans la recherche en sécurité, ils testent discrètement les points d’accès LLM en envoyant des salutations inoffensives, des requêtes vides ou des questions factuelles simples. Le but ? Identifier quels modèles d’IA sont accessibles sans alerter les équipes de sécurité.

Une campagne, toujours en cours, exploite la SSRF (Server-Side Request Forgery) pour forcer les serveurs ciblés à se connecter à une infrastructure contrôlée par l’attaquant. En abusant de fonctions comme le « model pull » d’Ollama, les attaquants peuvent injecter des URL malveillantes - ouvrant potentiellement la porte à des exploits plus dangereux. Fait intriguant, de nombreuses attaques proviennent d’infrastructures souvent associées à des chasseurs de bugs ou des chercheurs en sécurité, brouillant la frontière entre la recherche légitime et la reconnaissance « grey-hat ».

Mais une seconde opération, à plus grande échelle industrielle, déplace l’attention de la recherche vers la reconnaissance. En 11 jours, seulement deux adresses IP ont mené plus de 80 000 sessions, balayant systématiquement les points d’accès LLM exposés chez tous les grands fournisseurs. La liste ressemble à un « who’s who » de l’IA : GPT-4o d’OpenAI, la famille Claude d’Anthropic, Llama 3.x de Meta, Gemini de Google, et bien d’autres. GreyNoise avertit qu’une cartographie à si grande échelle n’est que rarement de la simple curiosité ; c’est la préparation d’attaques futures, de vols d’identifiants ou d’abus de l’IA.

Pour les défenseurs, l’avertissement est clair : les proxys mal configurés sont le nouveau talon d’Achille de l’infrastructure IA. Les recommandations incluent le renforcement des contrôles de registre, le blocage des domaines de rappel hors bande connus, et la surveillance des signes révélateurs de scans automatisés. À mesure que le périmètre de l’IA s’étend, la surface d’attaque - et les enjeux - augmentent.

Perspectives : cartographier aujourd’hui, attaquer demain ?

Bien qu’aucune brèche majeure n’ait encore été confirmée, le volume et la persistance de ces sondages suggèrent que les points d’accès LLM sont désormais clairement dans la ligne de mire des cybercriminels - et peut-être d’acteurs plus sophistiqués. La frontière entre recherche et reconnaissance s’amenuise, et à mesure que l’IA devient plus centrale pour les entreprises et la société, les risques liés à une sécurité laxiste des proxys s’accroissent. Comme l’a dit un chercheur en sécurité : « Les acteurs malveillants ne cartographient pas une infrastructure à cette échelle sans prévoir de l’exploiter. » La ruée vers l’or de l’IA est lancée, et le piège des proxys pourrait bien être le prochain grand écueil.

WIKICROOK

• Serveur proxy : Un serveur proxy est un intermédiaire qui achemine le trafic réseau, aidant à masquer l’identité des utilisateurs, contourner les restrictions et gérer l’accès à Internet.
• Grand modèle de langage (LLM) : Un grand modèle de langage (LLM) est une IA entraînée à comprendre et générer du texte de type humain, souvent utilisée dans les chatbots, assistants et outils de contenu.
• Serveur : Un serveur est un ordinateur ou un logiciel qui fournit des données, des ressources ou des services à d’autres ordinateurs, appelés clients, via un réseau.
• OAST (Out : OAST détecte les vulnérabilités des applications web en observant la façon dont les systèmes réagissent et communiquent via des canaux extérieurs au trafic web normal, comme le DNS ou l’e-mail.
• Énumération des points d’accès : L’énumération des points d’accès est la recherche systématique des points d’accès réseau pour découvrir les services accessibles, souvent utilisée par les attaquants pour trouver des vulnérabilités avant de lancer des attaques.