La plateforme d’évaluation de l’IA Braintrust a confirmé un incident de sécurité impliquant un accès non autorisé à l’un de ses comptes cloud Amazon Web Services (AWS). En réponse, l’entreprise a émis une directive critique à l’intention de l’ensemble de sa clientèle : révoquer et remplacer immédiatement toutes les clés API stockées sur sa plateforme.
Bien que la startup affirme qu’il n’y a aucune preuve d’une fuite de données généralisée, l’incident met en évidence les risques croissants associés aux infrastructures tierces dans le secteur de l’IA en pleine expansion.
L’étendue de l’incident
La violation a été identifiée après une révélation antérieure des secrets des clients. Dans un e-mail envoyé aux clients lundi, Braintrust a reconnu « l’accès non autorisé » à un compte AWS spécifique qui abritait les clés API utilisées par les clients pour interagir avec des modèles d’IA basés sur le cloud.
Selon la communication :
– L’entreprise a contacté au moins un client concerné.
– À ce jour, il n’y a aucune preuve d’une exposition plus large au-delà du compte initial.
– L’incident a été contenu, le compte compromis étant verrouillé et les secrets internes alternés.
Braintrust a publié mardi une divulgation officielle sur son site Internet, indiquant que la cause de la violation fait actuellement l’objet d’une enquête. Martin Bergman, porte-parole de l’entreprise, a décrit la notification massive comme une mesure de précaution. Il a souligné que même si un incident de sécurité a été confirmé, “il n’y a aucune preuve d’une violation pour le moment”.
Pourquoi c’est important pour l’infrastructure d’IA
Braintrust décrit sa plateforme comme un « système d’exploitation pour les ingénieurs qui créent des logiciels d’IA », fournissant des outils pour surveiller et évaluer les modèles d’IA. La société a récemment levé 80 millions de dollars en financement de série B, la valorisant à 800 millions de dollars. Cependant, cet incident souligne une vulnérabilité critique dans la chaîne d’approvisionnement de l’IA.
Jaime Blasco, co-fondateur de la startup de cybersécurité Nudge Security, a averti que l’incident pourrait avoir « des implications en aval pour les clients concernés ». De nombreuses entreprises d’IA s’appuient fortement sur des plateformes comme Braintrust pour gérer leurs flux de développement. Si les attaquants parviennent à accéder à ces hubs centralisés, ils peuvent potentiellement compromettre simultanément plusieurs systèmes en aval.
Le risque : Les pirates informatiques ciblent fréquemment les comptes de services cloud et les plates-formes tierces, car ils offrent un point d’entrée très rémunérateur et nécessitant peu d’efforts. Le vol de clés API permet aux attaquants de se faire passer pour des utilisateurs légitimes, en contournant les défenses périmétriques traditionnelles sans avoir besoin de pénétrer dans les systèmes principaux de l’entreprise cible.
Un modèle familier en matière de sécurité technologique
Cet incident reflète des violations antérieures dans l’écosystème de développement logiciel. Notamment, CircleCI, une plate-forme d’intégration et de déploiement continus populaire, a subi une violation de données cloud similaire en 2023. Comme Braintrust, CircleCI a été contraint de conseiller à tous ses clients de alterner « tous les secrets » stockés dans son infrastructure.
Ces événements suggèrent une tendance persistante : à mesure que le développement de logiciels et la formation en IA dépendent de plus en plus d’outils tiers, la surface d’attaque s’élargit. La sécurité ne consiste plus seulement à protéger ses propres serveurs ; cela nécessite une gestion rigoureuse des informations d’identification stockées dans l’ensemble de l’écosystème des fournisseurs.
Conclusion
La violation de Braintrust rappelle opportunément aux organisations du secteur de l’IA d’adopter une approche « zéro confiance » pour les intégrations tierces. Bien que l’impact immédiat semble contenu, la nécessité d’une rotation des clés met en évidence la fragilité de la gestion centralisée des informations d’identification et le besoin continu d’une hygiène de sécurité solide dans l’ensemble du secteur technologique.
