Navigation
Les derniers articles
Suivez en direct

Piratage AWS assisté par IA : l’intrusion en 8 minutes analysée

Illustration symbolique d'un piratage AWS assisté par IA montrant le logo Amazon Web Services devant un écran d'ordinateur affichant une barre de progression "Copying data" et un crâne de pirate.
Ce piratage AWS assisté par IA montre une compromission en un temps record. Découvrez le mécanisme précis qui a permis cette intrusion automatisée.

TL;DR : L’essentiel

  • Les assaillants ont converti un accès initial en privilèges administratifs complets en seulement huit minutes, une vitesse d’exécution rendue possible par l’automatisation via des grands modèles de langage pour l’écriture de code et la reconnaissance.
  • L’intrusion a exploité des identifiants stockés dans des buckets S3 publics, permettant l’injection de code dans une fonction Lambda dont le délai d’exécution a été augmenté de trois à trente secondes pour permettre le traitement.
  • Cette opération a compromis 19 identités AWS distinctes et exploité les ressources, incluant le lancement d’une instance GPU coûteuse et l’invocation non autorisée de modèles comme Claude ou DeepSeek via le service Bedrock.
  • Les chercheurs ont identifié l’usage d’IA générative grâce à des indicateurs spécifiques, notamment des commentaires en serbe dans le code et des hallucinations d’identifiants de comptes AWS aux séquences numériques ascendantes et descendantes.

Le 28 novembre dernier, un cas de piratage AWS assisté par IA s’est distingué par sa rapidité d’exécution. Selon les observations techniques, un intrus a réussi à passer d’un simple accès initial à un contrôle administratif total dans un délai très court. Cette performance repose sur l’assistance de modèles de langage (LLM) qui ont automatisé la majorité des phases, de la reconnaissance à l’exfiltration, comme l’indiquent plusieurs marqueurs identifiés par les équipes de recherche.

Injection Lambda : Le moteur du piratage AWS assisté par IA

Le point d’entrée de ce piratage AWS assisté par IA résidait dans des clés d’accès valides, récupérées depuis des espaces de stockage S3 mal configurés et accessibles au public. Ces identifiants appartenaient à un utilisateur IAM disposant de droits de lecture et d’écriture sur le service AWS Lambda. Comme le détaille l’analyse de Sysdig, l’attaquant a exploité ces permissions pour modifier le code d’une fonction existante nommée « EC2-init ». L’objectif était d’itérer sur les utilisateurs cibles pour s’octroyer des droits supérieurs. Après une première tentative échouée sur un profil nommé « adminGH », le script a finalement compromis l’utilisateur administrateur « frick ».

Les indices confirmant la nature de ce piratage AWS assisté par IA sont présents dans la structure du code injecté. Les chercheurs en sécurité ont relevé des commentaires rédigés en serbe, suggérant l’origine probable de l’opérateur, ainsi qu’une gestion des exceptions décrite comme exhaustive. De plus, le code contenait des hallucinations caractéristiques des IA génératives, mentionnant des identifiants de comptes inexistants composés de suites logiques comme 123456789012 par exemple. Cette automatisation a permis d’augmenter le délai d’expiration de la fonction Lambda de trois à trente secondes, un ajustement nécessaire pour lister l’intégralité des utilisateurs IAM et créer de nouvelles clés d’accès.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Infrastructure compromise : Le détournement coûteux des ressources GPU

Une fois les droits administrateur acquis, ce piratage AWS assisté par IA a basculé vers une phase de « LLMjacking », consistant à utiliser les ressources cloud pour accéder à des modèles d’IA. L’intrus a exploité l’accès au service Amazon Bedrock pour invoquer plusieurs modèles, incluant Claude 3.5 Sonnet, DeepSeek R1 ou encore Amazon Nova Premier. Cette activité a généré des traces dans les journaux, notamment l’invocation de modèles qu’aucun utilisateur du compte victime n’utilisait habituellement.

L’impact financier potentiel de cette intrusion est loin d’être négligeable. Les pirates ont tenté de louer des serveurs informatiques très puissants et coûteux. Après un premier échec, ils ont réussi à activer une machine facturée environ 33 dollars de l’heure, soit une dépense potentielle de près de 23 600 dollars par mois. Pour exploiter cette puissance, un script a ouvert un accès direct sur internet, permettant de contrôler le serveur sans passer par les systèmes de sécurité classiques. Toutefois, comme le rapporte The Register, l’ordinateur a été éteint après cinq minutes. L’incident a révélé une nouvelle erreur de l’IA génératrice du code : elle a tenté de copier des fichiers depuis une adresse web imaginaire qui n’existe pas.

Cette attaque illustre que si les agents IA ne réalisent pas encore de cyberattaques totalement autonomes, le piratage AWS assisté par IA devient une réalité concrète, assistant les criminels à presque chaque étape de la chaîne d’attaque. La protection des identités et la surveillance des invocations de modèles sont recommandées pour détecter ces nouvelles menaces.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.