L'équipe de recherche sur les cybermenaces de Sysdig a identifié il y a quelques mois une attaque dite de LLMjacking. Cette attaque vise à l'utilisation illicite d'un compte LLM après avoir compromis les informations d’identification de son propriétaire.
Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
Qu’est-ce que le LLMjacking ?
Les comptes Cloud sont une cible très intéressante pour les cyberattaquants, encore plus avec l’accès aux LLM hébergés dans le Cloud. Les attaquants recherchent des informations d’identification pour accéder aux modèles d’IA, ce qui entraîne la création d’un marché noir de l’accès aux LLM.
Le LLMjacking, terme de l’équipe de recherche de Sysdig, décrit un attaquant qui obtient illégalement l’accès à un LLM. Il utilise des informations d’identification volées pour obtenir l’accès à un environnement Cloud, dans lequel il trouve et obtient l’accès au(x) LLM(s) de la victime. L’utilisation d’un LLM peut devenir coûteuse. Le vol d’accès fait peser les coûts de consommation des ressources sur la victime et permet à l’attaquant de disposer de ressources potentiellement inépuisables.
Evolution des attaques
Depuis la 1ère analyse de l’attaque par la Threat Research Team (TRT) en mai 2024, le LLMjacking n’a cessé de faire de nouveaux adeptes. Sysdig TRT a observé l’évolution des attaques, avec un focus sur les motivations des cyberattaquants : utilisation personnelle gratuite du compte LLM jusqu’à la vente d’accès à des personnes ayant été bloquées par leur service Large Language Model (LLM) ou à des entités situées dans des pays sanctionnés par les plateformes LLM en question.
Lors du précédent rapport, les attaquants utilisaient frauduleusement des LLMs déjà activés dans les comptes qu’ils avaient usurpés. Désormais, ils tentent d’utiliser des informations d’identification volées pour activer eux-mêmes des modèles LLM.
L’impact financier des attaques
Le 1er impact est financier. Le coût pour la victime peut s’élever à plus de 46 000 dollars par jour pour un utilisateur de Claude 2.x. Si l’attaquant dispose de modèles plus récents (Claude 3 Opus), le coût serait plus élevé, potentiellement deux à trois fois plus élevé, soit jusqu’à plus de 100 000 euros.
Autre impact, celui lié aux ressources humaines et technologiques nécessaires pour combattre et arrêter ces attaques. Le LLMjacking est en augmentation, avec une multiplication par 10 des demandes de LLM au cours du mois de juillet et une multiplication par 2 du nombre d’adresses IP uniques impliquées dans ces attaques au cours de la première moitié de l’année 2024.
Pour information, Sysdig TRT a identifié des cyberattaques LLMjacking venant de Russie motivées par la nécessité de contourner des sanctions.
Source Sysdig TRT
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
- Comment le Quarter Plan permet d’aligner IT et Métiers pour délivrer
- Explosion des attaques d’ingénierie sociale en 2025
- SI sous pression : 3 signes que vos flux sont mal orientés
