Mauvaise Nouvelle
Il est difficile de trouver des mots pour décrire cette situation.
Des chercheurs en intelligence artificielle de Microsoft ont involontairement divulgué **38 terabytes** de données sensibles sur le site GitHub, selon un rapport d’une entreprise spécialisée en sécurité cloud, Wiz. Cela soulève de sérieuses questions sur la sécurité des données.
Le rapport souligne l’ampleur de cette fuite : des sauvegardes complètes des postes de travail de deux employés ont été comprises dans les fichiers divulgués, englobant des données personnelles sensibles ainsi que des informations cruciales de l’entreprise, telles que des **secrets**, des clés privées, des mots de passe, et plus de **30 000 messages internes** sur Microsoft Teams.
Pire encore, cette fuite pourrait avoir mis en danger les systèmes d’IA de Microsoft, les rendant susceptibles de cyberattaques.
En résumé, cette situation est chaotique et découle d’une simple erreur de configuration d’une URL. Cela nous rappelle à quel point des erreurs humaines peuvent avoir des conséquences **dévastatrices**, particulièrement dans le domaine émergent de l’IA.
Nous avons trouvé un dépôt public d’IA sur GitHub, exposant plus de 38 To de fichiers privés – y compris des sauvegardes d’ordinateurs personnels d’employés de @Microsoft 👨💻
Comment cela a-t-il pu arriver ? Une seule erreur de configuration dans le stockage @Azure suffit. 🧵⬇️
Trésor Inattendu
Selon Wiz, cette erreur s’est produite lors de la tentative des chercheurs en IA de Microsoft de publier un **ensemble de matériel de formation open-source** et des modèles d’IA pour la reconnaissance d’images sur la plateforme dédiée aux développeurs.
Les chercheurs ont mal configuré le jeton SAS, qui est essentiel pour contrôler les permissions d’accès aux fichiers. Au lieu de limiter l’accès aux matériaux d’IA spécifiquement, le jeton erroné a ouvert l’accès général à tout le compte de stockage.
Il convient de préciser que ce n’était pas seulement un accès en lecture. Cette erreur a en fait accordé un **contrôle total**, ce qui signifie que quiconque aurait pu manipuler les données, y compris les matériaux d’IA.
Les chercheurs de Wiz notent que cela aurait permis à un **attaquant** d’injecter du code malveillant dans tous les modèles d’IA de ce compte de stockage, affectant potentiellement tous les utilisateurs faisant confiance au dépôt GitHub de Microsoft.
Le rapport révèle également que cette erreur de configuration remonte à **2020**, indiquant que ces informations sensibles ont été accessibles pendant plusieurs années.
Semaine Difficile
Microsoft a affirmé avoir corrigé le problème, précisant dans un article de blog que **aucune donnée client** n’a été compromise lors de cette fuite.
Néanmoins, cette semaine s’annonce difficile pour le géant de la Silicon Valley. Des rapports récents ont révélé qu’une autre fuite – liée à la bataille de l’entreprise avec la FTC pour son acquisition d’Activision Blizzard – a exposé des projets pour la prochaine génération de Xbox, ainsi qu’une multitude de correspondances d’entreprise secrètes.
En conclusion, un point crucial à retenir est qu’une gestion prudente et sécurisée des immenses volumes de données nécessaires à l’entraînement des modèles d’IA est **indispensable**, surtout dans un contexte où les entreprises précipitent le lancement de nouveaux produits d’IA.
FAQ
Qu’est-ce qu’un jeton SAS ?
Un jeton SAS (Shared Access Signature) est un mécanisme utilisé pour contrôler les permissions d’accès aux ressources stockées dans Azure. Une mauvaise configuration peut mener à des fuites de données.
Quel type de données a été exposé dans cette fuite ?
Des fichiers contenant des sauvegardes de postes de travail personnels, ainsi que des secrets d’entreprise, des clés privées et des messages internes, ont été parmi les données divulguées.
Pourquoi la fuite remonte-t-elle à 2020 ?
Cela signifie que les données sensibles ont été compromises pendant une période prolongée sans être détectées, mettant en lumière un problème de surveillance de la sécurité.
Comment Microsoft a-t-il réagi à cette fuite ?
Microsoft a affirmé avoir pris des mesures pour résoudre le problème et a insisté sur le fait qu’aucune donnée client n’a été exposée lors de cette fuite.
Quels sont les risques associés à des erreurs de configuration dans le secteur de l’IA ?
De telles erreurs peuvent rendre des systèmes vulnérables à des cyberattaques, ainsi qu’exposer des données sensibles aux utilisateurs non autorisés, mettant en péril la sécurité de l’entreprise.
