Navigation
Les derniers articles
Suivez en direct

Piratage AWS assisté par IA : Une intrusion réalisée en 8 minutes

Illustration symbolique d'un piratage AWS assisté par IA montrant le logo Amazon Web Services devant un écran d'ordinateur affichant une barre de progression "Copying data" et un crâne de pirate.
Un cas documenté de piratage AWS assisté par IA révèle comment l’intelligence artificielle a permis d’obtenir les droits administrateur d’un environnement cloud en moins de dix minutes.

TL;DR : L’essentiel

  • Les assaillants ont converti un accès initial en privilèges administratifs complets en seulement huit minutes, une vitesse d’exécution rendue possible par l’automatisation via des grands modèles de langage pour l’écriture de code et la reconnaissance.
  • L’intrusion a exploité des identifiants stockés dans des buckets S3 publics, permettant l’injection de code dans une fonction Lambda dont le délai d’exécution a été augmenté de trois à trente secondes pour permettre le traitement.
  • Cette opération a compromis 19 identités AWS distinctes et exploité les ressources, incluant le lancement d’une instance GPU coûteuse et l’invocation non autorisée de modèles comme Claude ou DeepSeek via le service Bedrock.
  • Les chercheurs ont identifié l’usage d’IA générative grâce à des indicateurs spécifiques, notamment des commentaires en serbe dans le code et des hallucinations d’identifiants de comptes AWS aux séquences numériques ascendantes et descendantes.

Le 28 novembre dernier, un cas de piratage AWS assisté par IA s’est distingué par sa rapidité d’exécution. Selon les observations techniques, un intrus a réussi à passer d’un simple accès initial à un contrôle administratif total dans un délai très court. Cette performance repose sur l’assistance de modèles de langage (LLM) qui ont automatisé la majorité des phases, de la reconnaissance à l’exfiltration, comme l’indiquent plusieurs marqueurs identifiés par les équipes de recherche.

Injection Lambda : Le moteur du piratage AWS assisté par IA

Le point d’entrée de ce piratage AWS assisté par IA résidait dans des clés d’accès valides, récupérées depuis des espaces de stockage S3 mal configurés et accessibles au public. Ces identifiants appartenaient à un utilisateur IAM disposant de droits de lecture et d’écriture sur le service AWS Lambda. Comme le détaille l’analyse de Sysdig, l’attaquant a exploité ces permissions pour modifier le code d’une fonction existante nommée « EC2-init ». L’objectif était d’itérer sur les utilisateurs cibles pour s’octroyer des droits supérieurs. Après une première tentative échouée sur un profil nommé « adminGH », le script a finalement compromis l’utilisateur administrateur « frick ».

Les indices confirmant la nature de ce piratage AWS assisté par IA sont présents dans la structure du code injecté. Les chercheurs en sécurité ont relevé des commentaires rédigés en serbe, suggérant l’origine probable de l’opérateur, ainsi qu’une gestion des exceptions décrite comme exhaustive. De plus, le code contenait des hallucinations caractéristiques des IA génératives, mentionnant des identifiants de comptes inexistants composés de suites logiques comme 123456789012 par exemple. Cette automatisation a permis d’augmenter le délai d’expiration de la fonction Lambda de trois à trente secondes, un ajustement nécessaire pour lister l’intégralité des utilisateurs IAM et créer de nouvelles clés d’accès.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Infrastructure compromise : Le détournement coûteux des ressources GPU

Une fois les droits administrateur acquis, ce piratage AWS assisté par IA a basculé vers une phase de « LLMjacking », consistant à utiliser les ressources cloud pour accéder à des modèles d’IA. L’intrus a exploité l’accès au service Amazon Bedrock pour invoquer plusieurs modèles, incluant Claude 3.5 Sonnet, DeepSeek R1 ou encore Amazon Nova Premier. Cette activité a généré des traces dans les journaux, notamment l’invocation de modèles qu’aucun utilisateur du compte victime n’utilisait habituellement.

L’impact financier potentiel de cette intrusion est loin d’être négligeable. Les pirates ont tenté de louer des serveurs informatiques très puissants et coûteux. Après un premier échec, ils ont réussi à activer une machine facturée environ 33 dollars de l’heure, soit une dépense potentielle de près de 23 600 dollars par mois. Pour exploiter cette puissance, un script a ouvert un accès direct sur internet, permettant de contrôler le serveur sans passer par les systèmes de sécurité classiques. Toutefois, comme le rapporte The Register, l’ordinateur a été éteint après cinq minutes. L’incident a révélé une nouvelle erreur de l’IA génératrice du code : elle a tenté de copier des fichiers depuis une adresse web imaginaire qui n’existe pas.

Cette attaque illustre que si les agents IA ne réalisent pas encore de cyberattaques totalement autonomes, le piratage AWS assisté par IA devient une réalité concrète, assistant les criminels à presque chaque étape de la chaîne d’attaque. La protection des identités et la surveillance des invocations de modèles sont recommandées pour détecter ces nouvelles menaces.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.