Microsoft accuse un groupe de 10 dfendeurs anonymes d’avoir utilis des identifiants vols ses clients lgitimes et un logiciel conu sur mesure pour s’introduire dans Azure OpenAI. La socit accuse les cybercriminels d’avoir viol le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act et une loi fdrale sur le racket en accdant et en utilisant illicitement les logiciels et les serveurs de Microsoft dans le but de crer des contenus offensants, nuisibles et illicites. Microsoft n’a pas fourni de dtails spcifiques sur le contenu abusif gnr. L’entreprise demande une injonction et d’autres mesures quitables , ainsi que des dommages et intrts.
Des cybercriminels ont djou les garde-fous de scurit d’Azure OpenAI
L’action en justice en question a t dpose en dcembre 2024 auprs du tribunal fdral du district Est de Virginie. Dans sa plainte, Microsoft dit avoir dcouvert en juillet 2024 que des clients possdant des informations d’identification pour Azure OpenAI, notamment des cls d’API, taient utiliss pour gnrer du contenu qui violait la politique d’utilisation acceptable du service. Une enqute a rvl que les cls d’API avaient t voles des clients payants.
Les accuss, bass l’tranger, ont mis au point des outils spcialement conus afin de contourner les garde-fous que Microsoft a rigs pour empcher la cration de contenus prjudiciables via ses services d’IA gnrative , a dclar Steven Masada, conseiller gnral adjoint de l’unit de lutte contre la criminalit numrique de Microsoft. D’aprs la plainte, ils ont combin ces deux lments pour crer une plateforme payante que les gens pouvaient utiliser.
Ces fonctionnalits, combines l’accs programmatique illgal des dfendeurs au service Azure OpenAI, ont permis aux dfendeurs d’effectuer de l’ingnierie inverse pour contourner les mesures de Microsoft en matire de contenu et d’abus. Les dfendeurs ont sciemment et intentionnellement accd aux ordinateurs protgs par le service Azure OpenAI sans une autorisation et, en consquence, ont caus des dommages et des pertes , indique la plainte.
Ces accusations visent trois personnes non identifies. Microsoft affirme que les dfendeurs ont mis au point un systme de piratage en tant que service conu pour permettre la cration de contenus nuisibles et illicites en utilisant la plateforme de l’entreprise pour les contenus gnrs par l’IA.
Azure OpenAI est un service entirement gr par Microsoft et propuls par les technologies du fabricant de ChatGPT, OpenAI. Dans sa plainte, Microsoft dsigne les dfendeurs sous le nom de DOES , un pseudonyme lgal, car la firme de Redmond n’est pas parvenue dcouvrir leurs identits relles.
En outre, Microsoft ne prcise pas comment ils ont obtenu toutes les cls d’API utilises pour commettre l’infraction dcrite dans la plainte, mais il semble que les dfendeurs se soient engags dans un modle de vol systmatique de cls API qui leur a permis de voler les cls API de plusieurs clients de Microsoft .
Les attaquants ont vendu l’accs Azure OpenAI leurs propres clients
Microsoft poursuit galement sept personnes qui, selon la socit, taient clientes du service illgal mis au point par les cybercriminels. Par cette action, Microsoft cherche perturber un plan sophistiqu men par des cybercriminels qui ont dvelopp des outils spcifiquement conus pour contourner les garde-fous des services d’IA gnrative fournis par Microsoft et d’autres , ont crit les avocats de Microsoft dans la plainte dpose en dcembre dernier.
D’aprs la plainte, les accuss ont cr un outil ct client appel de3u , et un logiciel pour traiter et acheminer les communications de de3u vers les systmes de Microsoft. De3u permettait aux utilisateurs d’exploiter des cls API voles des clients lgitimes de Microsoft pour gnrer des images l’aide de DALL-E, sans avoir crire leur propre code. DALL-E est l’un des grands modles de langage mis la disposition des clients du service Azure OpenAI.
Les trois personnes qui graient le service de3u auraient compromis les comptes de clients lgitimes de Microsoft et vendu l’accs ces comptes par l’intermdiaire d’un site dsormais ferm, l’adresse rentry[.]org/de3u . Le service, qui a fonctionn de juillet septembre 2024, date laquelle il a t ferm par Microsoft, comprenait des instructions dtailles sur la manire d’utiliser ces outils personnaliss pour gnrer des contenus nuisibles et illicites .
Le service contenait un serveur proxy qui relayait le trafic entre ses clients et les serveurs fournissant les services d’intelligence artificielle de Microsoft, selon la plainte. Le service proxy utilisait notamment des API non documentes de Microsoft pour communiquer avec les ordinateurs Azure. Les requtes rsultantes taient conues pour imiter les requtes API lgitimes du service Azure OpenAPI et utilisaient des cls API compromises pour les authentifier.
Microsoft affirme que le tribunal l’a autoris saisir un site Web essentiel aux activits des dfendeurs, ce qui permettra l’entreprise de recueillir des preuves, de dchiffrer la manire dont les services prsums des dfendeurs sont montiss et de perturber toute infrastructure technique supplmentaire qu’elle dcouvrirait.
Les avocats de Microsoft ont inclus les images ci-dessus dans la plainte. La premire image illustre l’infrastructure du rseau et la seconde montrant l’interface utilisateur fournie aux utilisateurs du service illgal mis au point par les dfendeurs. Microsoft a dclar qu’il travaille ce que cela ne se reproduise pas.
Microsoft affirme avoir renforc les mesures de scurit d’Azure OpenAI
Microsoft n’a pas prcis comment les comptes des clients lgitimes ont t compromis, mais a indiqu que les pirates sont connus pour crer des outils qui recherchent dans les rfrentiels de code les cls API incluses par inadvertance dans les applications. Microsoft et d’autres socits conseillent depuis longtemps aux dveloppeurs de supprimer les identifiants et autres donnes sensibles du code qu’ils publient, mais cette pratique est rgulirement ignore.
Microsoft a galement voqu la possibilit que les identifiants aient t vols par des personnes ayant obtenu un accs non autoris aux rseaux o ils taient stocks. Les avocats de Microsoft allguent que les services des dfendeurs ont viol un certain nombre de lois amricaines, en particulier le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act, le Lanham Act et le Racketeer Influenced and Corrupt Organizations Act. Mais ce n’est pas tout.
La plainte ajoute galement que ces services constituent une fraude par fil, une fraude sur les dispositifs d’accs, une intrusion de droit commun et une ingrence dlictuelle. Elle vise obtenir une injonction interdisant aux dfendeurs de s’engager dans toute activit dcrite dans le prsent document . Microsoft et d’autres socits proposant des services similaires interdisent l’utilisation de leurs systmes d’IA gnrative pour crer divers contenus.
Les contenus interdits sont notamment ceux qui prsentent ou encouragent l’exploitation ou les abus sexuels, qui sont rotiques ou pornographiques, ou qui attaquent, dnigrent ou excluent des personnes en raison de leur race, de leur appartenance ethnique, de leur origine nationale, de leur sexe, de leur identit sexuelle, de leur orientation sexuelle, de leur religion, de leur ge, de leur statut de handicap ou d’autres caractristiques similaires.
Il n’autorise pas non plus la cration de contenus contenant des menaces, des intimidations, des incitations la violence physique ou d’autres comportements abusifs. Outre l’interdiction expresse de ce type d’utilisation de sa plateforme, Microsoft a galement mis au point des garde-fous qui inspectent la fois les invites saisies par les utilisateurs et les rsultats obtenus pour dtecter les signes de violation de l’une de ces conditions par le contenu demand.
Toutefois, ces restrictions ont t contournes plusieurs reprises ces dernires annes par des piratages, certains bnins et raliss par des chercheurs, d’autres par des acteurs malveillants. Microsoft n’a pas prcis comment le logiciel des dfendeurs aurait t conu pour contourner les garde-fous crs par la socit.
Sources : Microsoft, document de la plainte (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi