L'équipe de recherche sur les cybermenaces de Sysdig a identifié il y a quelques mois une attaque dite de LLMjacking. Cette attaque vise à l'utilisation illicite d'un compte LLM après avoir compromis les informations d’identification de son propriétaire.
Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
Qu’est-ce que le LLMjacking ?
Les comptes Cloud sont une cible très intéressante pour les cyberattaquants, encore plus avec l’accès aux LLM hébergés dans le Cloud. Les attaquants recherchent des informations d’identification pour accéder aux modèles d’IA, ce qui entraîne la création d’un marché noir de l’accès aux LLM.
Le LLMjacking, terme de l’équipe de recherche de Sysdig, décrit un attaquant qui obtient illégalement l’accès à un LLM. Il utilise des informations d’identification volées pour obtenir l’accès à un environnement Cloud, dans lequel il trouve et obtient l’accès au(x) LLM(s) de la victime. L’utilisation d’un LLM peut devenir coûteuse. Le vol d’accès fait peser les coûts de consommation des ressources sur la victime et permet à l’attaquant de disposer de ressources potentiellement inépuisables.
Evolution des attaques
Depuis la 1ère analyse de l’attaque par la Threat Research Team (TRT) en mai 2024, le LLMjacking n’a cessé de faire de nouveaux adeptes. Sysdig TRT a observé l’évolution des attaques, avec un focus sur les motivations des cyberattaquants : utilisation personnelle gratuite du compte LLM jusqu’à la vente d’accès à des personnes ayant été bloquées par leur service Large Language Model (LLM) ou à des entités situées dans des pays sanctionnés par les plateformes LLM en question.
Lors du précédent rapport, les attaquants utilisaient frauduleusement des LLMs déjà activés dans les comptes qu’ils avaient usurpés. Désormais, ils tentent d’utiliser des informations d’identification volées pour activer eux-mêmes des modèles LLM.
L’impact financier des attaques
Le 1er impact est financier. Le coût pour la victime peut s’élever à plus de 46 000 dollars par jour pour un utilisateur de Claude 2.x. Si l’attaquant dispose de modèles plus récents (Claude 3 Opus), le coût serait plus élevé, potentiellement deux à trois fois plus élevé, soit jusqu’à plus de 100 000 euros.
Autre impact, celui lié aux ressources humaines et technologiques nécessaires pour combattre et arrêter ces attaques. Le LLMjacking est en augmentation, avec une multiplication par 10 des demandes de LLM au cours du mois de juillet et une multiplication par 2 du nombre d’adresses IP uniques impliquées dans ces attaques au cours de la première moitié de l’année 2024.
Pour information, Sysdig TRT a identifié des cyberattaques LLMjacking venant de Russie motivées par la nécessité de contourner des sanctions.
Source Sysdig TRT
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
