{"id":23938,"date":"2026-06-03T17:07:22","date_gmt":"2026-06-03T15:07:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23938"},"modified":"2026-06-03T17:07:22","modified_gmt":"2026-06-03T15:07:22","slug":"llmjacking-2026-private-ai-server-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/llmjacking-2026-private-ai-server-security\/23938\/","title":{"rendered":"Les pillards de mod\u00e8les LLM et comment les repousser"},"content":{"rendered":"

La s\u00e9curit\u00e9 de l\u2019IA ne se limite pas \u00e0 la pr\u00e9vention du vol de donn\u00e9es, \u00e0 la limitation des agents d\u2019IA malveillants<\/a> ou \u00e0 \u00e9viter que les assistants ne donnent des conseils pr\u00e9judiciables. Une menace relativement simple, mais qui prend rapidement de l\u2019ampleur, a fait son apparition\u00a0: il s\u2019agit des tentatives de d\u00e9tournement de puissance de calcul et d\u2019exploitation du r\u00e9seau neuronal d\u2019autrui \u00e0 des fins personnelles. C\u2019est ce qu\u2019on appelle le LLMjacking. Alors que l\u2019on s\u2019attend g\u00e9n\u00e9ralement \u00e0 ce que les co\u00fbts li\u00e9s au calcul d\u2019IA augmentent consid\u00e9rablement<\/a>, le nombre de cyberattaques motiv\u00e9es par ces raisons devrait s\u2019accro\u00eetre. Par cons\u00e9quent, lors du d\u00e9ploiement de serveurs d\u2019IA propri\u00e9taires et des \u00e9cosyst\u00e8mes qui les accompagnent, tels que RAG<\/a> ou MCP<\/a>, il est essentiel de mettre en place des mesures de s\u00e9curit\u00e9 rigoureuses d\u00e8s le premier jour.<\/p>\n

Statistiques provenant d\u2019un pot de miel (honeypot)<\/h2>\n

C\u2019est une exp\u00e9rience<\/a> document\u00e9e en d\u00e9tail en avril\u00a02026 qui illustre le mieux la rapidit\u00e9 et l\u2019ampleur de ces tentatives de d\u00e9tournement de ressources. L\u2019enqu\u00eateur a configur\u00e9 un Raspberry Pi pour qu\u2019il se fasse passer pour un serveur d\u2019IA priv\u00e9 hautes performances et l\u2019a rendu accessible \u00e0 partir d\u2019Internet. Interrog\u00e9, il signalait la disponibilit\u00e9 des serveurs Ollama, LM Studio, AutoGPT, LangServe et text-gen-webui, soit des outils couramment utilis\u00e9s comme interfaces pour les mod\u00e8les d\u2019IA h\u00e9berg\u00e9s localement. Le serveur semblait \u00e9galement pr\u00eat \u00e0 accepter les requ\u00eates API au format OpenAI, qui est d\u00e9sormais la norme dans le secteur.<\/p>\n

Tous ces services semblaient fonctionner gr\u00e2ce \u00e0 une instance locale de Qwen3-Coder 30B Heretic, l\u2019un des mod\u00e8les open source les plus puissants, dont les m\u00e9canismes d\u2019alignement de s\u00e9curit\u00e9 avaient \u00e9t\u00e9 d\u00e9sactiv\u00e9s. Pour couronner le tout, le pot de miel a signal\u00e9 la pr\u00e9sence de diverses bases de donn\u00e9es RAG et d\u2019un serveur MCP dot\u00e9 de fonctionnalit\u00e9s all\u00e9chantes telles que \u00ab\u00a0get_credentials<\/em>\u00ab\u00a0.<\/p>\n

En r\u00e9alit\u00e9, le Raspberry Pi h\u00e9bergeait simplement 500\u00a0r\u00e9ponses pr\u00e9enregistr\u00e9es issues d\u2019un v\u00e9ritable mod\u00e8le Qwen3, et un script l\u00e9ger s\u00e9lectionnait la r\u00e9ponse la plus pertinente pour chaque requ\u00eate entrante. Ce dispositif a suffi \u00e0 passer un contr\u00f4le sommaire tout en permettant au chercheur d\u2019\u00e9valuer les intentions des pirates informatiques.<\/p>\n

Selon l\u2019auteur, Shodan, un service d\u2019analyse Internet tr\u00e8s populaire, a d\u00e9tect\u00e9 le serveur dans les trois heures qui ont suivi sa mise en ligne. \u00c0 peine une heure plus tard, des demandes ressemblant \u00e0 des missions de reconnaissance des capacit\u00e9s ont commenc\u00e9 \u00e0 affluer. Au cours du mois suivant, le serveur a trait\u00e9 plus de 113\u00a0000\u00a0requ\u00eates provenant de milliers d\u2019adresses IP uniques, dont 23\u00a0% du trafic visait pr\u00e9cis\u00e9ment \u00e0 d\u00e9couvrir les capacit\u00e9s de l\u2019IA et \u00e0 exploiter les mod\u00e8les de langage grand public (LLM) et les agents d\u2019IA locaux.<\/p>\n

Les requ\u00eates envoy\u00e9es aux terminaux, comme \/api\/tags<\/em> et \/v1\/models<\/em>, permettent aux pirates informatiques d\u2019identifier les mod\u00e8les h\u00e9berg\u00e9s sur un serveur, tandis que la recherche du r\u00e9pertoire \/.cursor\/rules<\/em> pr\u00e9c\u00e8de g\u00e9n\u00e9ralement une tentative d\u2019exploitation d\u2019un agent d\u2019IA. De m\u00eame, la recherche de \/.well-known\/mcp.json<\/em> permet de dresser un inventaire des serveurs MCP de la victime. Bien que l\u2019auteur ne mentionne pas le nombre total d\u2019attaques ayant d\u00e9pass\u00e9 le stade de la simple analyse, on a recens\u00e9 175\u00a0tentatives actives de d\u00e9tournement du mod\u00e8le LLM rien que durant la derni\u00e8re semaine de l\u2019exp\u00e9rience.<\/p>\n

Que recherchent les pirates\u00a0?<\/h2>\n

D\u2019apr\u00e8s les observations du chercheur, aucune des attaques visant le serveur factice n\u2019a tent\u00e9 d\u2019ex\u00e9cuter du code arbitraire ou d\u2019obtenir un acc\u00e8s root. (Note de la r\u00e9daction\u00a0: cela est surprenant et pourrait indiquer des lacunes dans la journalisation.) Presque toutes les attaques visaient \u00e0 d\u00e9tourner des ressources. Par exemple, les activit\u00e9s suivantes ont \u00e9t\u00e9 enregistr\u00e9es au cours de l\u2019exp\u00e9rience\u00a0:<\/p>\n