La cybersécurité est un enjeu majeur pour les plateformes d’intelligence artificielle alors que leur utilisation explose. Hugging Face, l’un des plus grands acteurs du domaine avec plus d’un million de modèles, datasets et applications IA hébergés, vient d’en faire l’expérience. La startup a en effet détecté un accès non autorisé à son service Spaces qui permet de créer, partager et héberger des ressources IA.
Des secrets potentiellement compromis
Selon Hugging Face, l’intrusion concerne les « secrets » de Spaces, c’est-à-dire les informations privées servant de clés pour déverrouiller des ressources protégées comme des comptes, outils et environnements de développement. La startup a des « suspicions » que certains de ces secrets aient pu être accédés par un tiers non autorisé.
Par précaution, Hugging Face a révoqué un certain nombre de tokens dans ces secrets. Les tokens servent à vérifier les identités. Les utilisateurs impactés ont déjà reçu un email de notification. La plateforme recommande à tous ses utilisateurs de rafraîchir leurs clés et tokens et d’envisager de passer à des tokens d’accès à granularité fine, jugés plus sécurisés.
Coopération avec les experts en cybersécurité
Pour faire toute la lumière sur cet incident, Hugging Face travaille avec des experts en cybersécurité forensique externes. L’objectif est de mener l’enquête mais aussi de revoir les politiques et procédures de sécurité en place. La startup a également signalé cet incident aux autorités policières et de protection des données.
Nous regrettons profondément la perturbation que cet incident a pu causer et comprenons les désagréments qu’il a pu entraîner. Nous nous engageons à en tirer les leçons pour renforcer la sécurité de toute notre infrastructure.
– Hugging Face
La sécurité, enjeu clé de l’IA grand public
Cet incident intervient alors que Hugging Face, en pleine croissance, fait l’objet d’une attention accrue sur ses pratiques de sécurité. Plusieurs vulnérabilités et risques ont été pointés ces derniers mois par des chercheurs en sécurité:
- Possibilité d’exécuter du code arbitraire pendant la construction d’une app hébergée par Hugging Face
- Installation secrète de backdoors et autres malwares via du code chargé sur la plateforme
- Détournement du format « sûr » Safetensors pour créer des modèles IA sabotés
Face à ces menaces, Hugging Face a annoncé un partenariat avec la société Wiz pour utiliser ses outils de détection des vulnérabilités et de configuration des environnements cloud. Le but est d’améliorer la sécurité de la plateforme et plus largement de l’écosystème IA/ML.
Les cyberattaques contre l’IA en hausse
Hugging Face constate une augmentation significative du nombre de cyberattaques ces derniers mois, sans doute liée à la croissance de l’usage de l’IA et à sa démocratisation. Un porte-parole indique qu’il est « techniquement difficile de savoir combien de secrets Spaces ont été compromis ».
Cet incident rappelle que la sécurité est un enjeu clé pour le développement d’une IA « grand public » fiable et éthique. Les plateformes comme Hugging Face, qui mettent la puissance de l’IA à portée de clic, doivent redoubler de vigilance face à des attaquants de plus en plus intéressés. La confiance des utilisateurs est à ce prix.
