Microsoft a divulgué les détails d’une nouvelle attaque par canal secondaire ciblant des modèles de langage distants qui pourrait permettre à un adversaire passif capable d’observer le trafic réseau de glaner des détails sur les sujets de conversation des modèles malgré les protections de cryptage dans certaines circonstances.
Cette fuite de données échangées entre les humains et les modèles de langage en mode streaming pourrait poser de sérieux risques pour la confidentialité des communications des utilisateurs et de l’entreprise, a noté la société. L’attaque porte le nom de code Fuite de murmure.
“Les cyberattaquants en mesure d’observer le trafic crypté (par exemple, un acteur étatique au niveau du fournisseur de services Internet, une personne sur le réseau local ou une personne connectée au même routeur Wi-Fi) pourraient utiliser cette cyberattaque pour déduire si l’invite de l’utilisateur porte sur un sujet spécifique”, ont déclaré les chercheurs en sécurité Jonathan Bar Or et Geoff McDonald, ainsi que l’équipe de recherche sur la sécurité de Microsoft Defender.
En d’autres termes, l’attaque permet à un attaquant d’observer le trafic TLS chiffré entre un utilisateur et le service LLM, d’extraire la taille des paquets et les séquences temporelles, et d’utiliser des classificateurs entraînés pour déduire si le sujet de conversation correspond à une catégorie cible sensible.
Le streaming de modèles dans les grands modèles de langage (LLM) est une technique qui permet une réception de données incrémentielle à mesure que le modèle génère des réponses, au lieu de devoir attendre que la totalité de la sortie soit calculée. Il s’agit d’un mécanisme de rétroaction essentiel, car certaines réponses peuvent prendre du temps, en fonction de la complexité de l’invite ou de la tâche.
La dernière technique démontrée par Microsoft est importante, notamment parce qu’elle fonctionne malgré le fait que les communications avec les chatbots d’intelligence artificielle (IA) sont cryptées avec HTTPS, ce qui garantit que le contenu de l’échange reste sécurisé et ne peut être falsifié.
De nombreuses attaques par canal secondaire ont été conçues contre les LLM ces dernières années, notamment la possibilité de déduire la longueur de jetons de texte en clair individuels à partir de la taille des paquets cryptés dans les réponses du modèle de streaming ou en exploitant les différences de synchronisation causées par la mise en cache des inférences LLM pour exécuter un vol d’entrée (alias InputSnatch).
Whisper Leak s’appuie sur ces résultats pour explorer la possibilité que « la séquence de tailles de paquets chiffrés et de délais d’arrivée lors d’une réponse de modèle de langage de streaming contient suffisamment d’informations pour classer le sujet de l’invite initiale, même dans les cas où les réponses sont diffusées en groupes de jetons », selon Microsoft.
Pour tester cette hypothèse, le fabricant de Windows a déclaré avoir formé un classificateur binaire comme preuve de concept capable de différencier une invite de sujet spécifique du reste (c’est-à-dire le bruit) à l’aide de trois modèles d’apprentissage automatique différents : LightGBM, Bi-LSTM et BERT.
Le résultat est que de nombreux modèles de Mistral, xAI, DeepSeek et OpenAI obtiennent des scores supérieurs à 98 %, permettant ainsi à un attaquant surveillant des conversations aléatoires avec les chatbots de signaler de manière fiable ce sujet spécifique.
“Si une agence gouvernementale ou un fournisseur de services Internet surveillait le trafic vers un chatbot IA populaire, ils pourraient identifier de manière fiable les utilisateurs posant des questions sur des sujets sensibles spécifiques – qu’il s’agisse du blanchiment d’argent, de la dissidence politique ou d’autres sujets surveillés – même si tout le trafic est crypté”, a déclaré Microsoft.
 |
| Pipeline d’attaque Whisper Leak |
Pour aggraver les choses, les chercheurs ont découvert que l’efficacité de Whisper Leak peut s’améliorer à mesure que l’attaquant collecte davantage d’échantillons d’entraînement au fil du temps, ce qui en fait une menace pratique. Suite à une divulgation responsable, OpenAI, Mistral, Microsoft et xAI ont tous déployé des mesures d’atténuation pour contrer le risque.
“Combiné à des modèles d’attaque plus sophistiqués et aux modèles plus riches disponibles dans les conversations à plusieurs tours ou les conversations multiples du même utilisateur, cela signifie qu’un cyberattaquant doté de patience et de ressources pourrait atteindre des taux de réussite plus élevés que ce que nos premiers résultats suggèrent”, ajoute-t-il.
Une contre-mesure efficace conçue par OpenAI, Microsoft et Mistral consiste à ajouter une « séquence aléatoire de texte de longueur variable » à chaque réponse, qui, à son tour, masque la longueur de chaque jeton pour rendre le canal secondaire sans objet.
Microsoft recommande également aux utilisateurs soucieux de leur vie privée lorsqu’ils discutent avec des fournisseurs d’IA d’éviter de discuter de sujets très sensibles lorsqu’ils utilisent des réseaux non fiables, d’utiliser un VPN pour une couche de protection supplémentaire, d’utiliser des modèles LLM sans streaming et de passer à des fournisseurs qui ont mis en œuvre des mesures d’atténuation.
La divulgation intervient alors qu’une nouvelle évaluation de huit LLM à poids ouvert d’Alibaba (Qwen3-32B), DeepSeek (v3.1), Google (Gemma 3-1B-IT), Meta (Llama 3.3-70B-Instruct), Microsoft (Phi-4), Mistral (Large-2 alias Large-Instruct-2047), OpenAI (GPT-OSS-20b) et Zhipu AI (GLM 4.5-Air) a trouvé ils sont très susceptibles aux manipulations adverses, en particulier lorsqu’il s’agit d’attaques à plusieurs tours.
 |
| Analyse comparative des vulnérabilités montrant les taux de réussite des attaques sur les modèles testés pour les scénarios à tour unique et multi-tours. |
“Ces résultats soulignent une incapacité systémique des modèles actuels à poids ouvert à maintenir des garde-corps de sécurité lors d’interactions étendues”, ont déclaré Amy Chang, Nicholas Conley, Harish Santhanalakshmi Ganesan et Adam Swanda, chercheurs de Cisco AI Defence dans un article d’accompagnement.
“Nous évaluons que les stratégies d’alignement et les priorités du laboratoire influencent de manière significative la résilience : les modèles axés sur les capacités tels que Llama 3.3 et Qwen 3 démontrent une susceptibilité multi-tours plus élevée, tandis que les conceptions axées sur la sécurité telles que Google Gemma 3 présentent des performances plus équilibrées.”
Ces découvertes montrent que les organisations qui adoptent des modèles open source peuvent être confrontées à des risques opérationnels en l’absence de garde-fous de sécurité supplémentaires, s’ajoutant à un nombre croissant de recherches exposant les faiblesses fondamentales de la sécurité des LLM et des chatbots IA depuis les débuts publics d’OpenAI ChatGPT en novembre 2022.
Il est donc crucial que les développeurs appliquent des contrôles de sécurité adéquats lors de l’intégration de telles fonctionnalités dans leurs flux de travail, affinent les modèles ouverts pour être plus robustes aux jailbreaks et autres attaques, effectuent des évaluations périodiques de l’équipe rouge de l’IA et mettent en œuvre des invites système strictes qui sont alignées sur les cas d’utilisation définis.
