Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert qu’il est possible de compromettre le service de conversion Hugging Face Safetensors pour finalement d\u00e9tourner les mod\u00e8les soumis par les utilisateurs et entra\u00eener des attaques sur la cha\u00eene d’approvisionnement.<\/p>\n
“Il est possible d’envoyer des demandes d’extraction malveillantes avec des donn\u00e9es contr\u00f4l\u00e9es par des attaquants depuis le service Hugging Face vers n’importe quel r\u00e9f\u00e9rentiel de la plate-forme, ainsi que de d\u00e9tourner tous les mod\u00e8les soumis via le service de conversion”, HiddenLayer dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n Ceci, \u00e0 son tour, peut \u00eatre accompli \u00e0 l’aide d’un mod\u00e8le pirat\u00e9 destin\u00e9 \u00e0 \u00eatre converti par le service, permettant ainsi \u00e0 des acteurs malveillants de demander des modifications \u00e0 n’importe quel r\u00e9f\u00e9rentiel de la plate-forme en se faisant passer pour le robot de conversion.<\/p>\n Hugging Face est une plate-forme de collaboration populaire qui aide les utilisateurs \u00e0 h\u00e9berger des mod\u00e8les et des ensembles de donn\u00e9es d’apprentissage automatique pr\u00e9-entra\u00een\u00e9s, ainsi qu’\u00e0 les cr\u00e9er, les d\u00e9ployer et les former.<\/p>\n Safetensors est un format<\/a> con\u00e7u par l’entreprise pour stocker tenseurs<\/a> en gardant \u00e0 l’esprit la s\u00e9curit\u00e9, contrairement aux cornichons, qui ont \u00e9t\u00e9 probablement militaris\u00e9<\/a> par des acteurs malveillants pour ex\u00e9cuter du code arbitraire et d\u00e9ployer des stagers Cobalt Strike, Mythic et Metasploit.<\/p>\n Il est \u00e9galement livr\u00e9 avec un service de conversion<\/a> qui permet aux utilisateurs de convertir n’importe quel mod\u00e8le PyTorch (c’est-\u00e0-dire cornichon<\/a>) vers son \u00e9quivalent Safetensor via une pull request.<\/p>\n L’analyse de ce module par HiddenLayer a r\u00e9v\u00e9l\u00e9 qu’il est hypoth\u00e9tiquement possible pour un attaquant de d\u00e9tourner le service de conversion h\u00e9berg\u00e9 \u00e0 l’aide d’un binaire PyTorch malveillant et de compromettre le syst\u00e8me qui l’h\u00e9berge.<\/p>\n De plus, le jeton associ\u00e9 \u00e0 SFConvertbot<\/a> \u2013 un robot officiel con\u00e7u pour g\u00e9n\u00e9rer la pull request \u2013 pourrait \u00eatre exfiltr\u00e9 pour envoyer une pull request malveillante \u00e0 n\u2019importe quel r\u00e9f\u00e9rentiel du site, conduisant \u00e0 un sc\u00e9nario dans lequel un acteur mena\u00e7ant pourrait falsifier le mod\u00e8le et implanter des portes d\u00e9rob\u00e9es neuronales.<\/p>\n “Un attaquant pourrait ex\u00e9cuter n’importe quel code arbitraire \u00e0 chaque fois que quelqu’un tentait de convertir son mod\u00e8le”, ont not\u00e9 les chercheurs Eoin Wickens et Kasimir Schulz. “Sans aucune indication \u00e0 l’utilisateur lui-m\u00eame, ses mod\u00e8les pourraient \u00eatre d\u00e9tourn\u00e9s lors de la conversion.”<\/p>\n Si un utilisateur tente de convertir son propre r\u00e9f\u00e9rentiel priv\u00e9, l’attaque pourrait ouvrir la voie au vol de son jeton Hugging Face, acc\u00e9der \u00e0 des mod\u00e8les et ensembles de donn\u00e9es autrement internes, et m\u00eame les empoisonner.<\/p>\n Pour compliquer encore les choses, un adversaire pourrait profiter du fait que n’importe quel utilisateur peut soumettre une demande de conversion pour un r\u00e9f\u00e9rentiel public afin de d\u00e9tourner ou de modifier un mod\u00e8le largement utilis\u00e9, ce qui pourrait entra\u00eener un risque consid\u00e9rable pour la cha\u00eene d’approvisionnement.<\/p>\n “Malgr\u00e9 les meilleures intentions visant \u00e0 s\u00e9curiser les mod\u00e8les d’apprentissage automatique dans l’\u00e9cosyst\u00e8me Hugging Face, le service de conversion s’est av\u00e9r\u00e9 vuln\u00e9rable et a pu provoquer une attaque g\u00e9n\u00e9ralis\u00e9e de la cha\u00eene d’approvisionnement via le service officiel de Hugging Face”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “Un attaquant pourrait prendre pied dans le conteneur ex\u00e9cutant le service et compromettre tout mod\u00e8le converti par le service.”<\/p>\n Le d\u00e9veloppement intervient un peu plus d’un mois apr\u00e8s que Trail of Bits a divulgu\u00e9 LeftoverLocals (CVE-2023-4969<\/a>score CVSS : 6,5), une vuln\u00e9rabilit\u00e9 qui permet la r\u00e9cup\u00e9ration des donn\u00e9es des unit\u00e9s de traitement graphique \u00e0 usage g\u00e9n\u00e9ral (GPGPU) d’Apple, Qualcomm, AMD et Imagination.<\/p>\n Le faille de fuite de m\u00e9moire<\/a>qui d\u00e9coule d’un \u00e9chec d’isolation ad\u00e9quate de la m\u00e9moire du processus, permet \u00e0 un attaquant local de lire la m\u00e9moire d’autres processus, y compris la session interactive d’un autre utilisateur avec un grand mod\u00e8le de langage (LLM).<\/p>\n “Cette fuite de donn\u00e9es peut avoir de graves cons\u00e9quences en mati\u00e8re de s\u00e9curit\u00e9, en particulier compte tenu de l’essor des syst\u00e8mes de ML, dans lesquels la m\u00e9moire locale est utilis\u00e9e pour stocker les entr\u00e9es, les sorties et les pond\u00e9rations du mod\u00e8le”, affirment les chercheurs en s\u00e9curit\u00e9 Tyler Sorensen et Heidy Khlaaf. dit<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Une-nouvelle-vulnerabilite-Hugging-Face-expose-les-modeles-dIA-aux.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n