Les pirates à l’affût : une menace croissante pour la supply chain en IA

En 2024, les pirates informatiques ont intensifié leurs attaques visant la supply chain logicielle, notamment dans le domaine de l’intelligence artificielle (IA). Les assauts deviennent de plus en plus sophistiqués, manipulant aussi bien les données que les bibliothèques logicielles. Les chiffres parlent d’eux-mêmes, avec une augmentation marquée des incidents liés aux failles des logiciels open source.

Une vulnérabilité alarmante dans l’open source

L’analyse menée par ReversingLabs révèle que 12% des incidents de sécurité associés à la supply chain logicielle sont dus à une exposition de secrets intégrés dans des développements. Cela touche notamment les composants open source, accessibles à tous. Une étude de 30 des logiciels libres les plus populaires montre une moyenne inquiétante de six failles critiques et de 33 failles de haute gravité par logiciel. Cette situation illustre l’importance de sécuriser ces composants, qu’ils soient propriétaires ou open source.

Une ancienne menace devenue complexe

Le piratage de SolarWinds en 2020 a marqué un tournant, touchant plus de 30 000 organisations dont des agences gouvernementales. Les conséquences pour la sécurité de la supply chain extérieure perdurent avec des attaques qui affectent dorénavant le développement de logiciels d’IA. La combinaison d’environnements modernes, qui repose largement sur des fournisseurs open source, complique encore davantage la situation.

Le danger des modules open source

Les modules open source sont souvent la porte d’entrée des menaces. Par exemple, un module de npm populaire a révélé 164 vulnérabilités, dont 43 critiques. Ces failles sont non seulement un risque pour les développeurs, mais affectent également la fiabilité des outils et des solutions qui s’appuient sur ces ressources.

L’IA, nouvelle cible de choix

Les campagnes malveillantes se concentrent désormais sur le développement d’IA. Des chercheurs ont identifié une technique appelée « nullifAI, » permettant d’injecter du code malveillant dans des fichiers manipulés par Python. Cela souligne l’importance d’intégrer des tests de pénétration pour sécuriser les modèles d’IA, notamment ceux utilisant des API externes.

Michael Adjei, directeur de l’ingénierie chez Illumio, constate : « Pour protéger la supply chain de l’IA, cette couche cachée de modèles doit être soumise à des tests rigoureux. »

Une vigilance constante requise 

Pour prévenir les attaques, les RSSI (Responsables de la Sécurité des Systèmes d’Information) doivent adopter des pratiques de sécurité proactives, dixit Peter Garraghan, CEO de Mindgard. Cela inclut des tests réguliers des applications d’IA et une transparence totale sur la structure logicielle.

Les risques du code généré par l’IA

L’émergence de codes générés par l’IA apporte son lot de problèmes, incluant des vulnérabilités déjà existantes dans les systèmes. Saša Zdjelar, directeur de la confiance chez ReversingLabs, déclare que « la véritable sécurité nécessite une évaluation constante et approfondie des logiciels. »

Vers une nomenclature logicielle étendue

La nécessité d’une nomenclature des logiciels (SBOM, software bill of materials) complète se fait sentir. Actuellement limitée à un simple inventaire, elle doit inclure des éléments tels que les composants utilisés dans l’IA, le machine learning et les services SaaS. Cela permet une meilleure gestion des risques et une réactivité accrue face aux vulnérabilités.

Darren Meyer, expert en tests de sécurité chez Checkmarx, affirme qu’un programme de sécurité robuste est essentiel pour maîtriser les menaces sur la supply chain logicielle. « Des outils d’analyse doivent être employés pour déceler les failles dans les composants logiciels tiers et ainsi prévenir des attaques potentielles. »

Conclusion : Agir maintenant pour sécuriser l’avenir

Face à l’accroissement des attaques ciblant la supply chain logicielle, il est crucial pour les organisations d’adopter une approche proactive vigilante. En intégrant des systèmes de sécurité innovants et des pratiques de développement sécurisé, les risques peuvent être atténués. Le monde de l’intelligence artificielle, tout comme les infrastructures traditionnelles, doit se préparer à ces défis croissants afin de garantir une supply chain robuste et résiliente.