« Vous savez ce qui est drôle ? Quand on essaie de hacker l’humour, ça n’a souvent pas de panache ! » Bienvenue dans le monde fascinant du grand jeu de chat et souris numériques. Le géant Microsoft, vêtit de sa casquette de justicier, a décidé de partir en croisade contre un groupe maléfiques de dix individus non identifiés. Leur crime ? Avoir tenté de contourner les gardes-fous de ses produits d’intelligence artificielle en nuage à coup de clés API dérobées et de logiciels faits-maison.
L’affaire a pris une tournure judiciaire quand Microsoft a déposé plainte auprès du tribunal de district des États-Unis pour le district oriental de Virginie. Selon cette plainte, les méchants (désignés sous le charmant pseudonyme légal de « Does ») auraient illégalement accédé au service Azure OpenAI de Microsoft. Ce service, pour les non-initiés, est propulsé par les technologies de la célèbre OpenAI, oui, celle qui a donné naissance à notre bien-aimé des bavardages, ChatGPT !
Microsoft les accuse de violer les lois sur la fraude informatique, le droit d’auteur numérique ainsi que la législation fédérale contre le racket en accédant illicitement à leurs logiciels et serveurs pour créer du contenu potentiellement nuisible et illicite. Cependant, la plainte est restée aussi muette qu’une tombe sur la spécificité du contenu en question.
Quand technologie rime avec filouterie, Microsoft sort son épée légale de son fourreau virtuel.
Découvertes en 2024, ces manigances mettaient à profit des clés API volées de clients payants du service Azure OpenAI. Ces clés, pour les néophytes, sont les précieuses chaînes de caractères qui authentifient un utilisateur ou une application. Et comme dans toute bonne série policière, Microsoft n’a pas encore découvert précisément comment les malicieux délinquants ont mis la main sur ces commodités numériques.
Les « gentils-mais-pas-tant-que-ça », selon Microsoft, auraient utilisé ces clés dérobées pour orchestrer un mélange de hacking et de service. De leur cuisine interne, ils ont conconcté l’outil de dénommé ‘de3u’, que je vous assure, ce n’est pas une nouvelle religion ! Cet outil permettait aux utilisateurs de ces clés volées de créer des images avec DALL-E, l’un des modèles d’OpenAI sans même coder une ligne !
Mais l’histoire ne s’arrête pas là. Tel un épisode de drama judiciaire, Microsoft raconte comment un dépôt de code lié au projet de3u, hébergé sur GitHub (une de leurs entreprises, ironiquement), est inaccessible à ce jour. Ce mystère reste entier tandis que Microsoft continue de dérouler son plan de contre-attaque bien ficelé, notamment en saisissant un site web à la manœuvre dans ce réseau douteux.
Et pendant ce temps, notre cher Microsoft a annoncé qu’il a mis en place des mesures de contre-mesures (oui, c’est comme ça qu’ils l’ont dit), ajoutant des mitigations supplémentaires de sécurité au service Azure OpenAI pour contrer ce genre d’activités. En fin de compte, tout ceci prouve que même dans le cyberespace, la justice ne dort jamais, même si elle a besoin de quelques mises à jour de temps en temps.
Pour conclure, chers lecteurs et lectrices, Microsoft démontre une fois de plus que même si la technologie peut être piratée, la couronne reste toujours sur la tête de celui qui a les grosses clés – les API ! Après tout, il semblerait que ces hackers aient toujours quelques bugs à corriger dans leur plan malicieux.
Source : Techcrunch