Jamais deux sans trois ? La semaine dernière, Hugging Face a fait face à un nouveau piratage. Cette fois-ci, ce sont essentiellement des tokens d’authentification qui ont été dérobés. C’est le moment de renouveler vos jetons d’accès.
Il aura fallu attendre près d’une semaine pour que Hugging Face communique sur le sujet. La plateforme collaborative et de partage de modèles d’intelligence artificielle vient d’essuyer une troisième attaque en à peine trois mois. Un piratage qui touche cette fois-ci l’intégrité des comptes utilisateur, alors que les cyberattaquants ont pu mettre la main sur des jetons d’authentification.
Une brèche d’envergure dans la sécurité des Spaces
Nouvelle intrusion chez Hugging Face. Dans un billet de blog officiel, les équipes de la start-up franco-américaine ont expliqué avoir détecté un accès non autorisé à la plateforme Spaces, dédiée au partage et au test d’applications d'IA.
Dans le détail, les pirates auraient réussi à accéder à des données sensibles, parmi lesquelles des informations relatives à l’authentification, mettant potentiellement en péril les tokens d’un certain nombre d’utilisateurs. Pour rappel, ces jetons ultra-confidentiels sont essentiels pour sécuriser l’accès aux modèles et aux applications partagées sur la plateforme. Bien que la portée exacte de la fuite reste à déterminer, nul doute que cette brèche constitue un risque majeur pour la sécurité des données des utilisateurs et utilisatrices.
C’est la troisième fois depuis le début de l’année que Hugging Face doit faire face à des problèmes de sécurité d’envergure. En février dernier, une centaine de modèles d'IA malveillants, capables d’exécuter du code malicieux sur les machines des victimes, avaient été découverts sur la plateforme d’hébergement par les équipes de sécurité de JFrog. Plus récemment, ce sont les chercheurs de Wiz qui révélaient une faille critique en parvenant à télécharger des modèles personnalisés et à contourner la sécurité des sandboxes pour obtenir un accès partagé aux modèles d’autres utilisateurs et utilisatrices.
Mesures de sécurité renforcées et appel à la vigilance
En réponse à cette dernière violation de données, Hugging Face a annoncé avoir pris des mesures concrètes pour endiguer les conséquences immédiates de cette intrusion, et renforcer la sécurité de son écosystème sur le long terme. La première étape a été de révoquer un nombre substantiel de tokens susceptibles d'avoir été compromis, et de prévenir sans tarder les internautes concernés. Si vous n’avez reçu aucune alerte de la part de la plateforme, il vous est tout de même vivement conseillé de renouveler vos tokens manuellement, et d’opter pour le niveau de sécurité supérieur (contrôle d’accès à granularité fine, nouvelle norme HF par défaut). Mieux vaut prévenir que guérir.
Outre ces actions immédiates, Hugging Face s’est engagée à améliorer la sécurité de son infrastructure Spaces via la suppression totale des tokens d'organisation, l’implémentation d’un KMS pour les données sensibles liées aux Spaces, la traque des jetons dérobés et leur révocation instantanée. À terme, l’entreprise devrait aussi mettre fin à la prise en charge des tokens classiques, visés par l’attaque.
Enfin, pour compléter les mesures de protection renforcées mises en place, Hugging Face a confirmé avoir signalé cette dernière intrusion aux autorités judiciaires et de protections des données adéquates.
21 novembre 2024 à 11h06
Source : Hugging Face