Les chercheurs de Sysdig ont observé un nouveau type d’attaque visant les Large Language Models. Baptisée LLMjacking, elle consiste à usurper les comptes cloud d’utilisateurs de LLM pour consommer « gratuitement » ces services. « Gratuitement » pour l’attaquant, pas pour l’utilisateur légitime qui risque de voir sa facture exploser.
En mai dernier, la Threats Research Team de Sysdig découvrait un nouveau type d’attaque visant les LLM (Large Language Models). Les IA à la ChatGPT ont, malgré leur popularité récente, généré quantité de littérature quant à leurs usages, réels ou fantasmés, dans un cadre cybercriminel.
Mais on évoque surtout l’altération des données d’entrainement ou l’utilisation des LLM pour produire scripts malveillants et autres messages de phishing. Ici, les chercheurs de Sysdig ont observé une campagne de compromission de comptes cloud permettant d’accéder à des services LLM qui y étaient hébergés.
Usurpation de comptes
Les attaquants ont obtenu les identifiants en exploitant une vulnérabilité de Laravel, de sorte les exfiltrer et à accéder à un modèle LLM local Claude (v2/v3) d’Anthropic. Ils ont ensuite utilisé un reverse proxy afin de fournir un accès aux comptes compromis. En d’autres termes, les attaquants s’emparent de l’accès aux comptes et revendent l’utilisation du LLM à des tiers (ou l’utilisent pour leur propre compte), tandis que le propriétaire du compte cloud paie la facture.
« Si ce type d’attaque n’est pas découvert, il pourrait entraîner des coûts de consommation LLM de plus de 46 000 dollars par jour pour la victime » avertissaient les chercheurs. Et jusqu’à 100 000 dollars par jour pour des modèles plus évolués. Or, depuis mai, ce type d’attaque, dite « LLMjacking » a gagné en popularité, à en croire un récent rapport de l’éditeur.
Un marché noir des LLM
La Threats Research Team de Sysdig indique que les requêtes LLM observées ont été multipliées par 10 sur le seul mois de juillet, tandis que le nombre d’adresses IP uniques utilisées dans ces attaques a doublé au premier trimestre 2024. Ces usurpations de comptes servent aussi bien à l’usage « personnel » de l’attaquant qu’à une revente à des personnes ou entités installées dans des pays où les accès à ces plateformes LLM ont été coupés (et accessoirement à abattre certains garde-fous des versions gratuites en ligne, à des fins généralement inappropriées).
Ainsi, les chercheurs ont identifié des attaques lancées depuis la Russie, où des fournisseurs de clouds tels qu’AWS ou Microsoft ont limité l’accès à leurs services. « Ce manque d’accès légal a ouvert la voie à un marché illicite de LLM. Dans un cas, nous avons observé un ressortissant russe utiliser des identifiants AWS volés pour accéder à un modèle Claude hébergé sur Bedrock » explique l’équipe de Sysdig. Dans le cas cité, le prompt concerne un projet universitaire.
