Les attaques sur l'infrastructure IA se multiplient : un retour d'expérience

En tant que développeur web freelance, je suis toujours à l’affût des menaces émergentes qui pourraient affecter les projets sur lesquels je travaille. Récemment, j'ai pris connaissance des découvertes alarmantes de chercheurs en sécurité. Entre octobre 2025 et janvier 2026, plus de 91 000 sessions d'attaque ont ciblé l'infrastructure IA, révélant des campagnes systématiques contre les déploiements de modèles de langage.

Les détails des campagnes ciblées

L'infrastructure honeypot d'Ollama déployée par GreyNoise a capté précisément 91 403 sessions d'attaque, mettant en lumière deux campagnes distinctes. Ces résultats prolongent et confirment les recherches antérieures de Defused sur les attaques ciblant les systèmes IA. La première campagne exploitait des vulnérabilités de type Server-Side Request Forgery (SSRF), forçant les serveurs à établir des connexions sortantes vers des infrastructures contrôlées par des attaquants.

Les attaquants se sont focalisés sur la fonctionnalité de modèle pull d'Ollama, en injectant des URL de registre malveillantes et en manipulant les paramètres Twilio SMS webhook MediaUrl.

Analyse des outils et des intentions

Entre octobre 2025 et janvier 2026, une augmentation notable a été observée pendant la période de Noël, enregistrant 1 688 sessions en 48 heures. Les attaquants ont employé l'infrastructure OAST de ProjectDiscovery pour valider avec succès leurs attaques via un système de rappel. Le fingerprinting a révélé une signature unique JA4H présente dans 99% des attaques, indiquant l'utilisation d'outils d'automatisation probablement basés sur Nuclei.

Mon verdict : ce sont probablement des opérations de grey-hat menées par des chasseurs de bugs.

Planification et méthodologies

À partir du 28 décembre 2025, deux adresses IP ont mené des sondages méthodiques sur plus de 73 points d'accès de modèles LLM, générant pas moins de 80 469 sessions en onze jours.

Ces reconnaissances visaient à débusquer des serveurs proxy mal configurés qui pourraient exposer un accès à des APIs commerciales. Les attaques ont testé les formats compatibles avec OpenAI et Google Gemini sur chaque grande famille de modèles : OpenAI GPT-4o, Anthropic Claude, Meta Llama 3.x, etc.

Les requêtes de test restaient délibérément innocentes, souvent limitées à des phrases aussi simples que « bonjour » ou « Combien d'états y a-t-il aux États-Unis ? », probablement pour identifier les modèles sans déclencher d'alertes de sécurité.

Les implications pour les professionnels du web

Avec 80 000 requêtes d'énumération, cette précision et ce volume indiquent un investissement significatif de la part des acteurs de la menace. Si vous administrez des points d'accès LLM exposés, il est probable que vous soyez déjà sur la liste de cibles potentielles.

Je recommande vivement de surveiller les indicateurs réseau suivants :

• JA4HDomainsIPAddressList inclut des domaines comme *.oast.live, *.oast.me, et des IPs comme 45.88.186.70, 204.76.203.125.

Autorisez Ollama à établir uniquement des connexions sortantes vers des adresses approuvées et bloquez tout autre trafic sortant afin d'empêcher les attaquants de se servir d'appels retour SSRF.