Utilisateur Hugging Face ? Régénérez vos jetons d'authentification après un nouveau piratage

Chloé Claessens
Par Chloé Claessens, Spécialiste cybersécurité.
Publié le 03 juin 2024 à 14h37
Fuite de données d'authentification chez Hugging Face : renouvelez vos tokens ! © Robert Way / Shutterstock
Fuite de données d'authentification chez Hugging Face : renouvelez vos tokens ! © Robert Way / Shutterstock

Jamais deux sans trois ? La semaine dernière, Hugging Face a fait face à un nouveau piratage. Cette fois-ci, ce sont essentiellement des tokens d’authentification qui ont été dérobés. C’est le moment de renouveler vos jetons d’accès.

Il aura fallu attendre près d’une semaine pour que Hugging Face communique sur le sujet. La plateforme collaborative et de partage de modèles d’intelligence artificielle vient d’essuyer une troisième attaque en à peine trois mois. Un piratage qui touche cette fois-ci l’intégrité des comptes utilisateur, alors que les cyberattaquants ont pu mettre la main sur des jetons d’authentification.

Une brèche d’envergure dans la sécurité des Spaces

Nouvelle intrusion chez Hugging Face. Dans un billet de blog officiel, les équipes de la start-up franco-américaine ont expliqué avoir détecté un accès non autorisé à la plateforme Spaces, dédiée au partage et au test d’applications d'IA.

Dans le détail, les pirates auraient réussi à accéder à des données sensibles, parmi lesquelles des informations relatives à l’authentification, mettant potentiellement en péril les tokens d’un certain nombre d’utilisateurs. Pour rappel, ces jetons ultra-confidentiels sont essentiels pour sécuriser l’accès aux modèles et aux applications partagées sur la plateforme. Bien que la portée exacte de la fuite reste à déterminer, nul doute que cette brèche constitue un risque majeur pour la sécurité des données des utilisateurs et utilisatrices.

C’est la troisième fois depuis le début de l’année que Hugging Face doit faire face à des problèmes de sécurité d’envergure. En février dernier, une centaine de modèles d'IA malveillants, capables d’exécuter du code malicieux sur les machines des victimes, avaient été découverts sur la plateforme d’hébergement par les équipes de sécurité de JFrog. Plus récemment, ce sont les chercheurs de Wiz qui révélaient une faille critique en parvenant à télécharger des modèles personnalisés et à contourner la sécurité des sandboxes pour obtenir un accès partagé aux modèles d’autres utilisateurs et utilisatrices.

Trois problèmes de sécurité critiques en trois mois pour Hugging Face © sdx15 / Shutterstock
Trois problèmes de sécurité critiques en trois mois pour Hugging Face © sdx15 / Shutterstock

Mesures de sécurité renforcées et appel à la vigilance

En réponse à cette dernière violation de données, Hugging Face a annoncé avoir pris des mesures concrètes pour endiguer les conséquences immédiates de cette intrusion, et renforcer la sécurité de son écosystème sur le long terme. La première étape a été de révoquer un nombre substantiel de tokens susceptibles d'avoir été compromis, et de prévenir sans tarder les internautes concernés. Si vous n’avez reçu aucune alerte de la part de la plateforme, il vous est tout de même vivement conseillé de renouveler vos tokens manuellement, et d’opter pour le niveau de sécurité supérieur (contrôle d’accès à granularité fine, nouvelle norme HF par défaut). Mieux vaut prévenir que guérir.

Outre ces actions immédiates, Hugging Face s’est engagée à améliorer la sécurité de son infrastructure Spaces via la suppression totale des tokens d'organisation, l’implémentation d’un KMS pour les données sensibles liées aux Spaces, la traque des jetons dérobés et leur révocation instantanée. À terme, l’entreprise devrait aussi mettre fin à la prise en charge des tokens classiques, visés par l’attaque.

Enfin, pour compléter les mesures de protection renforcées mises en place, Hugging Face a confirmé avoir signalé cette dernière intrusion aux autorités judiciaires et de protections des données adéquates.

A découvrir
Meilleur antivirus, le comparatif en juin 2024

04 juin 2024 à 17h42

Comparatifs services

Source : Hugging Face

Par Chloé Claessens
Spécialiste cybersécurité

Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.