Encore un maillon qui craque

La bibliothèque Python Xinference, qui permet d’utiliser facilement différents modèles d’IA localement, a été ciblée. Résultat : les versions 2.6.0 à 2.6.2 sont compromises et exposent plusieurs identifiants de connexion comme les clés SSH ou les secrets .env.

Une nouvelle fois, la supply chain d’une bibliothèque utilisée par les développeurs recourant à des modèles d’IA a été compromise. En mars, c’était le scanner de vulnérabilité Trivy qui était visé puis l’application LiteLLM. Axios avait ensuite été touché. Maintenant, c’est le tour de Xorbits Inference connu aussi sous le nom de Xinference.

• Après Trivy, Axios : une attaque chirurgicale et violente de la supply chain

Cette bibliothèque permet aux développeurs de passer d’un modèle à un autre en une seule ligne de code et de sélectionner des modèles open source qui conviennent le mieux pour la voix, du multimodal, qu’ils soient sur leur ordinateur ou dans le cloud.

Mais une attaque a été détectée par un utilisateur de XInference. L’équipe de chercheurs de l’entreprise de sécurité JFrog a analysé la compromission de Xinference dans PyPI (Python Package Index), le dépôt officiel des paquets Python. Pour eux, c’est signé du même acteur que celle effectuée contre Trivy, TeamPCP, même si son compte X réfute.

Récupération de tous les secrets possibles, traitement spécial pour AWS

JFrog explique que l’attaque n’utilise pas de technique de typo-squatting ou de faux paquets. C’est bel et bien les vrais paquets de Xinference distribués via PyPI qui ont été touchés et qui comportent des trojans. La méthode utilisée par les pirates pour diffuser des paquets piégés via PyPI n’est pas indiquée par les développeurs ; il faut se contenter d’un « Oui, nous sommes attaqués, nous venons de retirer ces versions » il y a 12 heures.

Une fois installés, ils ciblent directement les mot de passe et secrets des développeurs comme les clés SSH et TLS privées, les identifiants Git, AWS, les fichiers de configuration d’environnement de l’ordinateur, de mails et de bases de données, de Docker et Kubernetes, de VPN, les jetons de gestionnaire de paquets, ainsi que les portefeuilles de cryptomonnaies. Tout est enregistré dans une archive « love.tar.gz ».

Dans le cas d’AWS, le code malveillant va directement se connecter sur le compte via les secrets dérobés. Il ne fait donc pas seulement que récupérer des « clés », dans le cas d’Amazon elles sont directement utilisées sur place pour voler d’autres secrets avant de partir (via une fonction def aws_req).

« Si vous avez installé ou utilisé les versions 2.6.0 à 2.6.2 de xinference, considérez que l’hôte a été compromis », alarme JFrog. La dernière version officielle (et saine) est actuellement la 2.5.0. Attention, sur PyPI les versions 2.6.0, 2.6.1 et 2.6.2 sont uniquement « remisées » et donc toujours accessibles et téléchargeables dans l’historique des versions PyPI.

L’entreprise de cybersécurité explique que le code malveillant se trouve dans le fichier __init__.py, ce qui lui permet de se lancer dès l’import du paquet, que ce soit via un import de la bibliothèque, au démarrage en ligne de commande ou comme un service, via l’utilisation d’une bibliothèque dépendant de ce paquet.

Le piratage se fait via du code Python encodé en base64 (pour le cacher un peu aux yeux des utilisateurs) dans le fichier transmis à un sous-processus. Un nouvel interpréteur Python appelé via popen permet de désactiver les sorties stdout, stderr et d’exécuter le contenu malveillant sans que l’utilisateur ne s’en rende compte. Celui-ci commence par le commentaire « # hacked by teampcp ».

JFrog ne s’appuie pas que sur celui-ci pour attribuer le piratage à la même équipe que celle qui s’est attaquée à liteLLM.Les chercheurs affirment que la structure de l’attaque est « similaire ». Un autre code en base64 exfiltre les données via une requête POST après les avoir compressées dans un dossier temporaire.

L’entreprise liste cependant quelques différences avec le piratage de liteLLM dans ce tableau :

Sur la machine, toutes les données confidentielles sont exposées à un risque

Pour celles et ceux qui auraient installé une de ces versions de Xinference, JFrog conseille d’isoler le plus rapidement possible les hôtes affectés des réseaux sensibles et de vérifier s’il y a du trafic sortant ou des requêtes DNS vers whereisitat[.]lucyatemysuperbox[.]space. « Tout hôte ayant importé le paquet pourrait avoir subi une fuite de données », rappelle l’entreprise. « Vous devez partir du principe que toutes les données confidentielles stockées sur la machine sont exposées à un risque » et donc faire une rotation de tous les secrets qui ont pu être ciblés.

Enfin, après un audit vérifiant qu’il n’y a eu aucun accès non autorisé, JFrog explique qu’il est possible de se débarrasser du problème en désinstallant la version problématique de Xinference car aucun mécanisme de persistance n’est mis en place.

• L’attaque sans précédent sur NPM relance les débats sur la chaîne d’approvisionnement

De l'implication dans le réel de conversations artificielles

En avril 2025, Phoenix Ikner, 20 ans, a consulté le chatbot d’OpenAI sur l’opportunité de la fusillade à l’université de l’État de Floride dont il est suspecté d’être le principal auteur. Le procureur général de l’État a annoncé lancer une enquête criminelle pour savoir si l’entreprise avait une responsabilité juridique dans cette affaire.

Après l’encouragement au suicide d’un adolescent, ou à un meurtre, OpenAI et son chatbot sont accusés d’avoir aidé à la planification d’une fusillade proche des locaux d’un syndicat étudiant sur le campus de l’université de Floride.

Le 17 avril 2025, Phoenix Ikner, 20 ans, fils d’une policière, a déclenché une fusillade devant les locaux d’un syndicat étudiant sur le campus de l’université de l’État de Floride, faisant deux morts et six blessés, comme l’expliquait à l’époque USA Today.

Ce mardi 21 avril, le procureur général de l’État James Uthmeier a annoncé avoir lancé une enquête visant le rôle de ChatGPT et de son éditeur OpenAI dans cette tuerie. « La décision d’ouvrir une enquête fait suite à un premier examen, par les procureurs, des historiques de conversation entre ChatGPT et Phoenix Ikner, l’auteur de la fusillade survenue l’année dernière à l’université d’État de Floride », explique son communiqué de presse.

« Si ChatGPT était une personne, elle serait poursuivie pour meurtre »

Quelques jours plus tôt, le média local WTXL expliquait que les enquêteurs analysaient les logs des discussions de Phoenix Ikner avec le chatbot. Le jour de la fusillade, il aurait notamment demandé à ChatGPT comment le pays réagirait s’il y avait une fusillade dans cette université, quand la dernière fusillade avait eu lieu, quel nombre de victimes permet d’attirer l’attention des médias et si trois était suffisant.

Le chatbot aurait répondu qu’une fusillade avec trois victimes ou plus « ferait très certainement l’objet d’une couverture médiatique nationale ». Enfin, il aurait demandé à quelle heure les locaux du syndicat étudiant de l’université accueillaient le plus de monde.

• OpenAI et Anthropic scannent les conversations à la recherche d’usages problématiques

« La Floride montre la voie en matière de lutte contre l’utilisation de l’IA dans le cadre d’activités criminelles, et si ChatGPT était une personne, elle serait poursuivie pour meurtre », affirme le procureur général de l’État James Uthmeier dans son communiqué :

« Cette enquête pénale permettra de déterminer si OpenAI engage sa responsabilité pénale pour les agissements de ChatGPT lors de la fusillade survenue l’année dernière à l’université d’État de Floride. »

« Ce n’est pas parce qu’il s’agit d’un chatbot basé sur l’IA qu’il n’y a pas de responsabilité pénale », a-t-il déclaré lors de sa conférence de presse sur le sujet, selon Politico :

« Nous allons donc examiner qui savait quoi, qui a conçu quoi, ou qui aurait dû agir. Et s’il apparaît clairement que certaines personnes savaient que ce genre de comportements dangereux pouvait se produire, que ce genre d’événements tragiques et malheureux pouvait se produire, et qu’elles ont néanmoins privilégié le profit, qu’elles ont néanmoins laissé cette entreprise poursuivre ses activités, alors ces personnes devront rendre des comptes. »

De potentielles responsabilités pénales pour des responsables de l’entreprise

Pour l’enquête, son équipe a demandé à OpenAI de lui fournir de multiples informations sur les sécurités mises en place sur son chatbot concernant ce genre d’événement. Ainsi, l’entreprise doit notamment leur fournir toutes les informations sur les mesures internes concernant les menaces proférées par des utilisateurs à l’encontre d’autrui, à l’encontre d’eux-mêmes et concernant la coopération de l’entreprise avec la police pour signaler des crimes (au passé, futur ou présent).

Le procureur général demande aussi à l’entreprise de lui fournir un organigramme de ses responsables ainsi que la liste de tous les employés travaillant sur ChatGPT lors de différentes dates clés pour l’enquête.

Lors de sa conférence de presse, James Uthmeier a expliqué que l’éventuelle responsabilité pénale contre une entreprise constituerait une première dans le domaine juridique, rapporte le New York Times. Mais il ne s’interdit pas de viser des personnes physiques liées à l’entreprise lors de son enquête : « des êtres humains auraient pu intervenir dans la conception, la gestion et le fonctionnement » de ChatGPT, au point où cela pourrait « engager leur responsabilité pénale ».

« La fusillade de masse qui s’est produite l’année dernière à l’université d’État de Floride a été une tragédie, mais ChatGPT n’est pas responsable de ce crime odieux », indique le communiqué d’OpenAI sur le sujet transmis au New York Times.

« Dans ce cas précis, ChatGPT a fourni des réponses factuelles à des questions en s’appuyant sur des informations largement disponibles dans des sources publiques sur Internet, et n’a ni encouragé ni favorisé aucune activité illégale ou préjudiciable », ajoute l’entreprise.

L’Ofcom, le régulateur britannique des télécommunications, vient de lancer ce mardi 21 avril une enquête contre Telegram après avoir reçu des preuves montrant que des utilisateurs de la plateforme ont partagé des contenus pédocriminels.

Dans son communiqué, l’Ofcom explique s’appuyer sur la nouvelle loi dite « Online Safety Act 2023 », et vouloir vérifier que la plateforme de messagerie se conforme bien à ces nouvelles obligations.

Le régulateur a été prévenu par le Centre canadien de protection de l’enfance, une organisation caritative qui concentre une partie de ses actions sur le sujet de la lutte contre le partage d’images de ce type sur Internet. « Nous avons décidé d’ouvrir une enquête afin de déterminer si Telegram a manqué, ou manque actuellement, à ses obligations en matière de contenus illicites », explique l’Ofcom.

À Reuters, Telegram nie « catégoriquement » ces accusations et affirme avoir « virtuellement éliminé » la diffusion publique de ce genre de contenus en utilisant des algorithmes de détection depuis 2018. L’agence de presse fait remarquer que Telegram a récemment reçu une amende en Australie pour avoir tardé à répondre à des questions sur la mise en place de ce genre de mesures.

« Nous sommes surpris par cette enquête et craignons qu’elle ne s’inscrive dans le cadre d’une offensive plus large contre les plateformes en ligne qui défendent la liberté d’expression et le droit à la vie privée », ajoute la plateforme.

« Nous partageons les inquiétudes selon lesquelles des réseaux d’acteurs malveillants opèrent au sein de l’écosystème de Telegram, et que les mesures prises ne sont pas suffisantes pour empêcher la diffusion d’images d’abus sexuels sur mineurs connues et détectées », explique à Reuters l’association britannique Internet Watch Foundation.

En début d’année, suite au scandale des générations de deepfakes sur Grok, l’Ofcom a lancé une enquête sur l’utilisation de cette IA et de X pour générer et partager des images de personnes dénudées et des images sexualisées d’enfants.