Microsoft a intenté une action en justice contre un groupe qui, selon la société, aurait intentionnellement développé et utilisé des outils pour contourner les garde-fous de sécurité de ses produits d’IA cloud.
Selon une plainte déposée par la société en décembre devant le tribunal de district américain pour le district oriental de Virginie, un groupe de 10 accusés non identifiés aurait utilisé des informations d’identification de clients volées et des logiciels conçus sur mesure pour pénétrer dans le service Azure OpenAI , le service entièrement géré de Microsoft alimenté par les technologies OpenAI du créateur de ChatGPT .
Dans la plainte, Microsoft accuse les défendeurs, connus sous le pseudonyme légal de « Does », d’avoir violé le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act et une loi fédérale sur le racket en accédant et en utilisant illégalement les logiciels et les serveurs de Microsoft dans le but de « créer du contenu offensant », « nuisible et illicite ». Microsoft n’a pas fourni de détails précis sur le contenu abusif qui a été généré.
La société demande une injonction et une « autre mesure équitable » ainsi que des dommages et intérêts.
Dans la plainte, Microsoft affirme avoir découvert en juillet 2024 que des clients disposant d’identifiants Azure OpenAI Service (notamment des clés API, les chaînes de caractères uniques utilisées pour authentifier une application ou un utilisateur) étaient utilisés pour générer du contenu qui viole la politique d’utilisation acceptable du service. Par la suite, grâce à une enquête, Microsoft a découvert que les clés API avaient été volées à des clients payants, selon la plainte.
« La manière précise dont les défendeurs ont obtenu toutes les clés API utilisées pour commettre l’inconduite décrite dans cette plainte est inconnue », peut-on lire dans la plainte de Microsoft, « mais il semble que les défendeurs se soient livrés à un schéma de vol systématique de clés API qui leur a permis de voler des clés API Microsoft à plusieurs clients Microsoft. »
Microsoft affirme que les défendeurs ont utilisé des clés API Azure OpenAI Service volées appartenant à des clients basés aux États-Unis pour créer un système de « piratage en tant que service ». Selon la plainte, pour mener à bien ce système, les défendeurs ont créé un outil côté client appelé de3u, ainsi qu’un logiciel de traitement et de routage des communications de de3u vers les systèmes de Microsoft.
Selon Microsoft , De3u a permis aux utilisateurs d’exploiter des clés API volées pour générer des images à l’aide de DALL-E , l’un des modèles OpenAI disponibles pour les clients du service Azure OpenAI, sans avoir à écrire leur propre code. Selon la plainte, De3u a également tenté d’empêcher le service Azure OpenAI de réviser les invites utilisées pour générer des images, ce qui peut se produire, par exemple, lorsqu’une invite de texte contient des mots qui déclenchent le filtrage de contenu de Microsoft.
Un dépôt contenant le code du projet de3u, hébergé sur GitHub — une société appartenant à Microsoft — n’est plus accessible au moment de la mise sous presse.
« Ces fonctionnalités, combinées à l’accès illégal des défendeurs à l’API programmatique du service Azure OpenAI, ont permis aux défendeurs de procéder à une rétro-ingénierie des moyens de contourner le contenu et les mesures anti-abus de Microsoft », peut-on lire dans la plainte. « Les défendeurs ont sciemment et intentionnellement accédé aux ordinateurs protégés par le service Azure OpenAI sans autorisation et, en conséquence de cette conduite, ont causé des dommages et des pertes. »
Dans un article de blog publié vendredi, Microsoft indique que le tribunal l’a autorisé à saisir un site Web « essentiel » aux opérations des défendeurs, ce qui permettra à l’entreprise de rassembler des preuves, de déchiffrer comment les services présumés des défendeurs sont monétisés et de perturber toute infrastructure technique supplémentaire qu’elle trouve.
Microsoft indique également avoir « mis en place des contre-mesures », que la société n’a pas précisées, et « ajouté des mesures d’atténuation de sécurité supplémentaires » au service Azure OpenAI ciblant l’activité observée.
Vous avez trouvé cet article intéressant ? Suivez-nous sur X et LinkedIn pour lire davantage de contenu exclusif que nous publions.
