MtoM Mag - Le journal de l'MtoM.

JFrog Ltd. (Nasdaq : JFROG), la société Liquid Software et créatrice de la plateforme JFrog Software Supply Chain, a annoncé aujourd’hui la découverte de trois vulnérabilités zero-day (chacune notée CVSS 9.3) dans PickleScan, un outil standard largement utilisé dans l’industrie pour analyser les modèles ML et s’assurer qu’ils ne contiennent aucun contenu malveillant. Ces failles permettent aux pirates de contourner la détection des logiciels malveillants de PickleScan et d’exécuter potentiellement une attaque à grande échelle contre la chaîne d’approvisionnement en distribuant des modèles ML malveillants qui dissimulent du code malveillant indétectable, mettant ainsi en danger les développeurs et les organisations.

Ces vulnérabilités apparaissent alors que le rapport Top 10 de l’Open Worldwide Application Security Project (OWASP) classe les attaques contre la chaîne logistique des logiciels au troisième rang des risques de sécurité les plus importants pour 2025, illustrant ainsi la rapidité avec laquelle les écosystèmes d’IA et de ML deviennent des vecteurs de grande valeur pour les acteurs malveillants.

L’impact potentiel de ces vulnérabilités est mis en évidence par Hugging Face, qui héberge plus de 200 000 modèles et s’appuie sur PickleScan pour vérifier ces téléchargements. Si des pirates exploitent ces vulnérabilités, ils pourraient télécharger des modèles malveillants qui échappent à la détection et se propagent largement dans l’écosystème de l’IA.

Comment fonctionne l’attaque

Les vulnérabilités proviennent d’incohérences entre la manière dont PickleScan évalue les fichiers de modèle et la manière dont PyTorch les charge réellement. Les chercheurs de JFrog ont identifié trois voies d’exploitations :

 Contournement de l’extension de fichier (CVE-2025-10155) : Les attaquants peuvent dissimuler un fichier pickle malveillant en le renommant avec une extension liée à PyTorch (par exemple, de .pkl à .bin). Une faille dans la détection du type de fichier de PickleScan permet au scanner de ne pas détecter le contenu malveillant, tandis que PyTorch charge et exécute le code en vérifiant le contenu du fichier, et non son extension.
 Contournement du CRC dans les archives ZIP (CVE-2025-10156) : en introduisant des erreurs CRC dans les fichiers de modèles compressés, les attaquants peuvent forcer PickleScan à échouer complètement le scan. PyTorch, cependant, ignore souvent les incompatibilités CRC, ce qui permet au code malveillant d’être chargé sans être détecté.
 Contournement des globaux non sécurisés (CVE-2025-10157) : PickleScan met sur liste noire les importations dangereuses telles que asyncio, mais les attaquants peuvent exploiter les méthodes de sous-classement pour faire passer les avertissements de « dangereux » à « suspect », ce qui entraîne l’exécution arbitraire complète du code lors du chargement du modèle.

Interrogé sur ces vulnérabilités, David Cohen, chercheur en sécurité chez JFrog, déclare : « Les bibliothèques d’IA telles que PyTorch deviennent chaque jour plus complexes, introduisant de nouvelles fonctionnalités, de nouveaux formats de modèles et de nouvelles voies d’exécution, et ce, plus rapidement que les outils d’analyse de sécurité ne peuvent suivre. Cet écart croissant entre l’innovation et la protection expose les organisations à des menaces émergentes que les outils conventionnels n’ont tout simplement pas été conçus pour anticiper. Pour combler cet écart, un proxy de sécurité pour les modèles d’IA est nécessaire, soutenu par la recherche et alimenté en permanence par des experts qui pensent à la fois comme des attaquants et comme des défenseurs. En analysant activement les nouveaux modèles, en suivant les mises à jour des bibliothèques et en découvrant de nouvelles techniques d’exploitation, cette approche offre une protection adaptative et intelligente contre les vulnérabilités les plus importantes. »

Impact généralisé

Les recherches de JFrog en matière de sécurité révèlent des problèmes systémiques liés à la sécurité de l’IA :

 La dépendance excessive à un seul outil d’analyse crée un point de congestion vulnérable
 Les incohérences dans le traitement des fichiers exposent des angles morts
 Même 1 ou 2 vulnérabilités dans les référentiels publics hébergeant des millions de modèles augmentent considérablement le risque d’attaques à grande échelle contre la chaîne d’approvisionnement

Les mesures de protection

Les organisations et les développeurs doivent immédiatement adopter une stratégie de défense multicouche allant au-delà de la simple comparaison avec une liste noire :

 Mettre à jour PickleScan : les utilisateurs doivent mettre à jour PickleScan vers la version 0.0.31, dans laquelle les développeurs ont corrigé tous les problèmes signalés.
 Passer à des formats plus sûrs : les organisations doivent restreindre l’utilisation de types de modèles ML non sécurisés (tels que Pickle) et passer à des formats sécurisés tels que Safetensors, qui ne permettent pas l’exécution de code arbitraire.
 Sécurité multicouche : ne vous fiez pas uniquement à un seul scanner. Mettez en œuvre des mesures d’isolation telles qu’un bac à sable et utilisez un proxy de modèle sécurisé (tel que JFrog Catalog) pour une protection supplémentaire.
 Protocole de scan automatisé : tout scan échoué doit automatiquement mettre en quarantaine ou bloquer l’utilisation ou la distribution du modèle.

L’équipe de recherche en sécurité de JFrog se consacre à l’amélioration de la sécurité tout au long de la chaîne logistique logicielle, y compris les pipelines d’IA et de ML. Restez informé de nos recherches en matière de sécurité sur research.jfrog.com ou signalez les vulnérabilités potentielles que vous découvrez sur security@jfrog.com

https://jfrog.com