Meta a suspendu toute collaboration avec le sous-traitant de données Mercor à la suite d’un incident de sécurité important, affectant les données de formation sensibles de l’industrie de l’IA. Cette décision intervient alors que d’autres laboratoires d’IA de premier plan, dont OpenAI, réévaluent également leurs partenariats avec Mercor pour déterminer l’étendue complète de la violation.
Les enjeux : les secrets bien gardés de l’IA
Mercor est un fournisseur clé d’ensembles de données de formation sur mesure pour des entreprises comme OpenAI et Anthropic. Ces ensembles de données sont critiques aux performances des modèles d’IA (tels que ChatGPT et Claude) et sont donc hautement confidentiels. Le risque n’est pas seulement financier ; Les fuites de données pourraient donner aux concurrents – y compris ceux de Chine – un aperçu des méthodes de formation, leur donnant ainsi un avantage dans le paysage de l’IA en évolution rapide.
Alors qu’OpenAI enquête pour savoir si ses données exclusives ont été exposées, la société insiste sur le fait que les données des utilisateurs ne sont pas affectées. Anthropic n’a pas encore commenté la situation. Mercor elle-même a confirmé l’attaque, déclarant qu’elle était l’une des « milliers d’organisations dans le monde » touchées. La pause dans les projets de Meta laisse les entrepreneurs dans l’incertitude, potentiellement confrontés à des pertes d’emploi jusqu’à la reprise des travaux.
La brèche : comment cela s’est produit
L’attaque semble provenir de mises à jour compromises de l’outil API AI LiteLLM, affectant potentiellement des milliers d’entreprises. Un groupe de hackers connu sous le nom de TeamPCP est soupçonné, bien qu’un autre groupe, Lapsus$, en ait initialement revendiqué la responsabilité. Les chercheurs en sécurité pensent que l’affirmation de Lapsus$ est probablement fausse, TeamPCP étant le principal acteur.
TeamPCP a gagné en importance grâce aux attaques de la chaîne d’approvisionnement et à l’extorsion de données, avec des liens avec des groupes de ransomwares. Le groupe a également fait preuve de motivations politiques, en déployant des logiciels malveillants destructeurs dans des régions liées à l’Iran.
Pourquoi c’est important : la montée des attaques contre la chaîne d’approvisionnement
La faille Mercor met en évidence une tendance croissante : les attaques contre la chaîne d’approvisionnement deviennent la méthode privilégiée pour compromettre des cibles de grande valeur. En ciblant un fournisseur tiers (comme Mercor), les attaquants peuvent accéder à plusieurs laboratoires d’IA à la fois. Cela souligne la nécessité de mesures de sécurité robustes tout au long de la chaîne d’approvisionnement de l’IA.
Mercor, comme beaucoup de ses concurrents (Surge, Handshake, etc.), opère dans le plus grand secret. Ce manque de transparence rend difficile l’évaluation des vulnérabilités et augmente le risque de violations futures.
Cet incident nous rappelle brutalement que même les modèles d’IA les plus précieux sont aussi sécurisés que le maillon le plus faible de leur pipeline de données. L’industrie doit donner la priorité à la sécurité de la chaîne d’approvisionnement pour protéger sa propriété intellectuelle principale.
