{"id":156140,"date":"2025-09-03T11:56:31","date_gmt":"2025-09-03T18:56:31","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=156140"},"modified":"2025-09-09T13:53:06","modified_gmt":"2025-09-09T20:53:06","slug":"model-namespace-reuse","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/model-namespace-reuse\/","title":{"rendered":"Quand la r\u00e9utilisation des espaces de noms met en p\u00e9ril l\u2019int\u00e9grit\u00e9 de la supply\u00a0chain de l\u2019IA"},"content":{"rendered":"

<\/a>Avant-propos<\/h2>\n

Notre \u00e9tude a mis en \u00e9vidence une faille fondamentale dans la cha\u00eene d'approvisionnement de l'IA, permettant \u00e0 des attaquants d'obtenir une Ex\u00e9cution de Code \u00e0 Distance (RCE)<\/strong> ainsi que d'autres capacit\u00e9s sur des plateformes majeures telles que l'Azure AI Foundry de Microsoft, Vertex AI de Google et des milliers de projets open source. Nous avons baptis\u00e9 cette probl\u00e9matique \u00ab Model Namespace Reuse \u00bb<\/strong> (R\u00e9utilisation d'espaces de noms de mod\u00e8les).<\/p>\n

Hugging Face est une plateforme qui permet aux d\u00e9veloppeurs d'IA de cr\u00e9er, partager et d\u00e9ployer des mod\u00e8les et des jeux de donn\u00e9es. Sur cette plateforme, les espaces de noms (namespaces) servent d'identifiants pour les mod\u00e8les, qui sont des d\u00e9p\u00f4ts Git stock\u00e9s sur le hub Hugging Face. Les mod\u00e8les Hugging Face contiennent des configurations, des poids, du code et des informations permettant aux d\u00e9veloppeurs de les utiliser.<\/p>\n

Le \u00ab Model Namespace Reuse \u00bb se produit lorsque des catalogues de mod\u00e8les de fournisseurs de cloud, ou le code associ\u00e9, r\u00e9cup\u00e8rent un mod\u00e8le supprim\u00e9 ou transf\u00e9r\u00e9 en se basant sur son nom. En r\u00e9enregistrant un espace de noms abandonn\u00e9 et en recr\u00e9ant son chemin d'acc\u00e8s d'origine, des acteurs malveillants<\/strong> peuvent cibler les pipelines qui d\u00e9ploient des mod\u00e8les en se fiant uniquement \u00e0 leur nom. Cela peut potentiellement permettre \u00e0 des attaquants de d\u00e9ployer des mod\u00e8les malveillants et d'obtenir des capacit\u00e9s d'ex\u00e9cution de code, entre autres impacts.<\/p>\n

Bien que nous ayons divulgu\u00e9 cette vuln\u00e9rabilit\u00e9 de mani\u00e8re responsable \u00e0 Google, Microsoft et Hugging Face, le probl\u00e8me fondamental demeure une menace pour toute organisation qui r\u00e9cup\u00e8re des mod\u00e8les en se basant uniquement sur leur nom. Cette d\u00e9couverte prouve que la confiance accord\u00e9e aux mod\u00e8les sur la seule base de leur nom est insuffisante et n\u00e9cessite une r\u00e9\u00e9valuation critique de la s\u00e9curit\u00e9<\/strong> dans l'ensemble de l'\u00e9cosyst\u00e8me de l'IA.<\/p>\n

Les organisations peuvent b\u00e9n\u00e9ficier d\u2019un accompagnement dans l\u2019\u00e9valuation de leur posture de s\u00e9curit\u00e9 gr\u00e2ce \u00e0 l\u2019\u00c9valuation de la s\u00e9curit\u00e9 du cloud de l\u2019Unit\u00a042<\/a>.<\/p>\n

Notre approche<\/a> les aide \u00e9galement \u00e0 s\u00e9curiser l\u2019usage et le d\u00e9veloppement de l\u2019IA.<\/p>\n

Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n\n\n\n
Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\nSupply Chain<\/b><\/a>, GenAI<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n

<\/a>R\u00e9utilisation des espaces de noms de mod\u00e8les\u00a0: l\u2019explication<\/h2>\n

Comprendre comment Hugging\u00a0Face organise et identifie les mod\u00e8les est essentiel pour saisir la technique de r\u00e9utilisation des espaces de noms. La ressource la plus courante sur cette plateforme sont les mod\u00e8les, qui sont en r\u00e9alit\u00e9 des d\u00e9p\u00f4ts\u00a0Git qui contiennent la configuration, les poids ainsi que tout code ou \u00e9l\u00e9ment suppl\u00e9mentaire dont les d\u00e9veloppeurs et chercheurs peuvent avoir besoin pour les utiliser efficacement.<\/p>\n

<\/a>Comment les d\u00e9veloppeurs r\u00e9cup\u00e8rent les mod\u00e8les<\/h3>\n

Pour identifier et acc\u00e9der aux mod\u00e8les, les d\u00e9veloppeurs utilisent une convention de nommage en deux parties\u00a0: Author\/ModelName<\/span>. Dans cette structure, la partie Author<\/span> correspond \u00e0 l\u2019utilisateur ou \u00e0 l\u2019organisation Hugging\u00a0Face ayant publi\u00e9 le mod\u00e8le, tandis que ModelName<\/span> est le nom du mod\u00e8le.<\/p>\n

Par exemple, si l\u2019organisation\u00a0AIOrg<\/span> publie le mod\u00e8le\u00a0Translator_v1<\/span>, le nom complet du mod\u00e8le sera\u00a0AIOrg\/Translator_v1<\/span>. Les noms d\u2019auteur servent d\u2019identifiants uniques\u00a0: si un auteur existe d\u00e9j\u00e0, il n\u2019est pas possible d\u2019en cr\u00e9er un autre portant le m\u00eame nom.<\/p>\n

Les d\u00e9veloppeurs emploient directement cet identifiant Author\/ModelName<\/span> dans leur code, au sein des diff\u00e9rentes biblioth\u00e8ques Hugging\u00a0Face, pour t\u00e9l\u00e9charger et utiliser les mod\u00e8les. Ainsi, le code pr\u00e9sent\u00e9 \u00e0 la figure\u00a01 permet de r\u00e9cup\u00e9rer le mod\u00e8le Translator_v1<\/span> depuis la biblioth\u00e8que\u00a0Transformers<\/span>, largement utilis\u00e9e.<\/p>\n

\"Extrait
Figure\u00a01. Code pour r\u00e9cup\u00e9rer le mod\u00e8le\u00a0Translator_v<\/span>1 depuis la biblioth\u00e8que\u00a0Transformers<\/span>.<\/figcaption><\/figure>\n

Cette structure hi\u00e9rarchique permet une attribution claire et une organisation coh\u00e9rente. Cependant, en l\u2019absence de garde-fous stricts concernant le cycle de vie de ces espaces de noms, une surface d\u2019attaque inattendue voit le jour.<\/p>\n

La technique de r\u00e9utilisation des espaces de noms de mod\u00e8les exploite la mani\u00e8re dont Hugging\u00a0Face g\u00e8re les identifiants Author\/ModelName<\/span> apr\u00e8s la suppression d\u2019un compte, qu\u2019il s\u2019agisse d\u2019un utilisateur ou d\u2019une organisation. Nos recherches dans ce domaine ont mis en \u00e9vidence un point critique\u00a0: n\u2019importe qui peut r\u00e9enregistrer un espace de noms supprim\u00e9.<\/p>\n

Lorsqu\u2019un utilisateur ou une organisation est supprim\u00e9 de Hugging\u00a0Face, son espace de noms unique ne devient pas d\u00e9finitivement indisponible. Ces identifiants retournent dans un pool d\u2019options disponibles, permettant \u00e0 un autre utilisateur de cr\u00e9er ult\u00e9rieurement une organisation sous le m\u00eame nom. Ce m\u00e9canisme de r\u00e9utilisation est illustr\u00e9 dans l\u2019\u00c9tude de cas\u00a01 \u2013\u00a0Vertex\u00a0AI.<\/a><\/p>\n

<\/a>Suppression d\u2019un propri\u00e9taire dans Hugging\u00a0Face<\/h3>\n

Consid\u00e9rons le sc\u00e9nario fictif suivant d\u2019un mod\u00e8le dont l\u2019auteur a \u00e9t\u00e9 supprim\u00e9\u00a0:<\/p>\n

L\u2019organisation\u00a0DentalAI<\/span> avait cr\u00e9\u00e9 le mod\u00e8le l\u00e9gitime\u00a0toothfAIry<\/span>. Ce mod\u00e8le permettait d\u2019analyser des images dentaires et de d\u00e9tecter avec pr\u00e9cision les caries ainsi que d\u2019autres anomalies dentaires. Gr\u00e2ce \u00e0 son efficacit\u00e9 et \u00e0 sa simplicit\u00e9 d\u2019utilisation, il est rapidement devenu un outil appr\u00e9ci\u00e9 des d\u00e9veloppeurs, des chercheurs en odontologie et des professionnels de sant\u00e9. Au fil du temps, DentalAI\/toothfAIry<\/span> a \u00e9t\u00e9 int\u00e9gr\u00e9 \u00e0 des outils de diagnostic, des plateformes m\u00e9dicales et m\u00eame \u00e0 des d\u00e9p\u00f4ts open\u00a0source sp\u00e9cialis\u00e9s en technologies de sant\u00e9.<\/p>\n

Mais les d\u00e9veloppeurs de DentalAI<\/span> l\u2019ont finalement supprim\u00e9e de Hugging\u00a0Face. Un acteur malveillant a remarqu\u00e9 cette opportunit\u00e9 et en a profit\u00e9 pour recr\u00e9er l\u2019organisation, puis y charger une version compromise du mod\u00e8le toothfAIry<\/span> sous le m\u00eame nom.<\/p>\n

En cons\u00e9quence, tous les d\u00e9p\u00f4ts de code et pipelines continuant de r\u00e9f\u00e9rencer le mod\u00e8le original se retrouvent d\u00e9sormais gravement expos\u00e9s.<\/p>\n

On pourrait croire que si un nom de mod\u00e8le de confiance continue de fonctionner dans le code, c\u2019est qu\u2019il n\u2019existe aucun risque de r\u00e9utilisation malveillante de cet espace de noms. Il s\u2019agit en fait d\u2019une id\u00e9e re\u00e7ue. Des d\u00e9p\u00f4ts de code et des pipelines peuvent t\u00e9l\u00e9charger et d\u00e9ployer une version compromise \u00e0 l\u2019insu des d\u00e9veloppeurs. Ces mod\u00e8les malveillants peuvent entra\u00eener une s\u00e9rie de cons\u00e9quences impr\u00e9vues\u00a0: diagnostics erron\u00e9s, ou encore acc\u00e8s non autoris\u00e9 et persistant aux syst\u00e8mes concern\u00e9s par les attaquants.<\/p>\n

La figure\u00a02 illustre les \u00e9tapes de ce sc\u00e9nario fictif.<\/p>\n

\"S\u00e9quence
Figure 2. Vue d\u2019ensemble du flux d\u2019attaque.<\/figcaption><\/figure>\n

Un autre vecteur d\u2019attaque potentiel r\u00e9side dans la mani\u00e8re dont Hugging\u00a0Face g\u00e8re le transfert de propri\u00e9t\u00e9 des mod\u00e8les.<\/p>\n

<\/a>Transfert de propri\u00e9t\u00e9 dans Hugging\u00a0Face<\/h3>\n

Hugging Face permet en effet de modifier l\u2019auteur d\u2019un mod\u00e8le en transf\u00e9rant sa propri\u00e9t\u00e9 d\u2019un d\u00e9tenteur \u00e0 un autre. Ce transfert g\u00e9n\u00e8re un nouvel espace de noms pour le mod\u00e8le \u2013\u00a0AIOrg\/Translator_v1<\/span> devient AIOrgNew\/Translator_v1<\/span>, par exemple. Les utilisateurs peuvent alors d\u00e9ployer le mod\u00e8le via ce nouvel identifiant. Toutefois, l\u2019espace de noms d\u2019origine reste lui aussi accessible pour le d\u00e9ploiement.<\/p>\n

Lorsqu\u2019un utilisateur soumet une requ\u00eate \u00e0 l\u2019ancien espace de noms, Hugging\u00a0Face le redirige automatiquement vers le nouvel espace. Cette redirection s\u2019applique \u00e0 tous les points d\u2019acc\u00e8s\u00a0: interface utilisateur\u00a0(UI), Rest\u00a0API et kits de d\u00e9veloppement logiciel (SDK).<\/p>\n

Cette approche est logique et voulue\u00a0: Hugging\u00a0Face cherche \u00e0 garantir la continuit\u00e9 des pipelines, m\u00eame apr\u00e8s un changement d\u2019espace de noms. Mais, comme le montre le sc\u00e9nario pr\u00e9c\u00e9dent, si l\u2019organisation d\u00e9tentrice du mod\u00e8le original est supprim\u00e9e, l\u2019espace de noms redevient disponible pour un nouvel enregistrement.<\/p>\n

Dans ce cas, si un acteur malveillant s\u2019approprie cet espace de noms, le m\u00e9canisme de redirection est rompu\u00a0: la version compromise du mod\u00e8le prend alors le pas sur la version l\u00e9gitime.<\/p>\n

Pour illustrer ce sc\u00e9nario fictif, reprenons l\u2019exemple du domaine dentaire.<\/p>\n

L\u2019organisation Dentalligence<\/span> a rachet\u00e9 DentalAI<\/span>. Dans le cadre de cette acquisition, DentalAI<\/span> a transf\u00e9r\u00e9 l\u2019ensemble de ses mod\u00e8les d\u2019IA vers l\u2019organisation Dentalligence<\/span>. Une fois le transfert effectu\u00e9, les administrateurs de DentalAI<\/span> ont supprim\u00e9 l\u2019organisation d\u2019origine de Hugging\u00a0Face, puisqu\u2019elle \u00e9tait d\u00e9sormais enti\u00e8rement int\u00e9gr\u00e9e \u00e0 Dentalligence<\/span>.<\/p>\n

Tous les mod\u00e8les auparavant publi\u00e9s sous DentalAI<\/span> (comme DentalAI\/toothfAIry<\/span>) sont alors devenus accessibles via leurs nouveaux chemins, tels que Dentalligence\/toothfAIry<\/span>. Pour assurer la continuit\u00e9, Hugging\u00a0Face a maintenu des redirections depuis les anciens espaces de noms vers les nouveaux, permettant aux utilisateurs de continuer \u00e0 acc\u00e9der aux mod\u00e8les sans modifier leur code.<\/p>\n

Mais un acteur malveillant a constat\u00e9 que l\u2019organisation DentalAI<\/span> \u00e9tait de nouveau disponible. Il l\u2019a recr\u00e9\u00e9e et y a t\u00e9l\u00e9charg\u00e9 des mod\u00e8les compromis, en reprenant exactement les m\u00eames noms que ceux auparavant utilis\u00e9s par DentalAI<\/span>.<\/p>\n

Comme les noms de mod\u00e8les originaux restaient valides et d\u00e9ployables durant toute la transition, les utilisateurs n\u2019ont rien remarqu\u00e9. Ils n\u2019ont subi aucune interruption de service et n\u2019ont pas eu \u00e0 modifier leurs appels de mod\u00e8les dans le code. Ainsi, une requ\u00eate visant \u00e0 t\u00e9l\u00e9charger DentalAI\/toothfAIry<\/span> redirigeait automatiquement vers Dentalligence\/toothfAIry<\/span>. Lorsque l\u2019acteur malveillant a ins\u00e9r\u00e9 sa version sous les anciens noms, les utilisateurs ont donc commenc\u00e9 \u00e0 d\u00e9ployer les mod\u00e8les compromis \u00e0 la place des versions de confiance qu\u2019ils avaient int\u00e9gr\u00e9es initialement.<\/p>\n

<\/a>Comparaison des sc\u00e9narios<\/h3>\n

Des espaces de noms de mod\u00e8les r\u00e9utilisables cod\u00e9s en dur existent dans des milliers de projets open\u00a0source. Ils se retrouvent aussi bien dans des d\u00e9p\u00f4ts populaires, largement \u00e9toil\u00e9s, que dans d\u2019autres appartenant \u00e0 des organisations de premier plan. De tels mod\u00e8les repr\u00e9sentent en outre une menace pour les utilisateurs des principales plateformes d\u2019IA.<\/p>\n

Le tableau 1 r\u00e9sume les diff\u00e9rences entre les deux sc\u00e9narios.<\/p>\n\n\n\n\n\n\n\n
<\/td>\nSuppression du propri\u00e9taire<\/strong><\/td>\nTransfert de propri\u00e9t\u00e9<\/strong><\/td>\n<\/tr>\n
Cause<\/strong><\/td>\nL\u2019auteur du mod\u00e8le a \u00e9t\u00e9 supprim\u00e9 de Hugging\u00a0Face.<\/td>\nLe mod\u00e8le a \u00e9t\u00e9 transf\u00e9r\u00e9 \u00e0 un nouveau propri\u00e9taire et l\u2019ancien auteur a \u00e9t\u00e9 supprim\u00e9 de Hugging\u00a0Face.<\/td>\n<\/tr>\n
Exp\u00e9rience utilisateur<\/strong><\/td>\nLes utilisateurs subiront des temps d\u2019arr\u00eat, le mod\u00e8le n\u2019existant plus.<\/td>\nLes utilisateurs ne seront pas affect\u00e9s, leurs requ\u00eates \u00e9tant redirig\u00e9es vers le nouveau mod\u00e8le.<\/td>\n<\/tr>\n
Codes\u00a0HTTP lors de l\u2019acc\u00e8s au mod\u00e8le<\/strong><\/td>\n404<\/td>\n307<\/td>\n<\/tr>\n
Signes distinctifs<\/strong><\/td>\nL\u2019auteur du mod\u00e8le n\u2019est plus disponible sur Hugging\u00a0Face.<\/td>\nLorsqu\u2019on tente d\u2019acc\u00e9der au mod\u00e8le, Hugging\u00a0Face redirige vers un autre auteur. En outre, l\u2019ancien auteur n\u2019est plus disponible.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tableau\u00a01. Diff\u00e9rences cl\u00e9s entre les mod\u00e8les supprim\u00e9s r\u00e9utilisables et les mod\u00e8les transf\u00e9r\u00e9s r\u00e9utilisables.<\/span><\/p>\n

<\/a>R\u00e9utilisation des espaces de noms de mod\u00e8les en pratique<\/h2>\n

<\/a>\u00c9tude de cas n\u00b0\u00a01\u00a0: Vertex\u00a0AI<\/h3>\n

Google\u00a0Vertex\u00a0AI est une plateforme de machine\u00a0learning\u00a0(ML) manag\u00e9e au sein de Google\u00a0Cloud\u00a0Platform\u00a0(GCP). Les d\u00e9veloppeurs utilisent Vertex\u00a0AI pour cr\u00e9er et mettre \u00e0 l\u2019\u00e9chelle des mod\u00e8les qui s\u2019int\u00e8grent avec d\u2019autres services Google\u00a0Cloud.<\/p>\n

Le Model\u00a0Garden est une fonctionnalit\u00e9 cl\u00e9 de Vertex\u00a0AI\u00a0: il s\u2019agit d\u2019un d\u00e9p\u00f4t centralis\u00e9 de mod\u00e8les pr\u00e9 entra\u00een\u00e9s provenant de Google, de tiers et de la communaut\u00e9 open\u00a0source. Fait notable, il prend en charge le d\u00e9ploiement direct de mod\u00e8les issus de Hugging\u00a0Face. Concr\u00e8tement, les utilisateurs peuvent s\u00e9lectionner un mod\u00e8le sur Hugging\u00a0Face et le d\u00e9ployer sur Vertex\u00a0AI en seulement quelques \u00e9tapes, sans avoir \u00e0 r\u00e9aliser de packaging sp\u00e9cifique.<\/p>\n

La figure\u00a03 illustre le d\u00e9ploiement du mod\u00e8le distilbert\/distilgpt2<\/span>.<\/p>\n

\"Capture
Figure 3. D\u00e9ploiement d\u2019un mod\u00e8le Hugging Face sur Vertex AI.<\/figcaption><\/figure>\n

Il convient de noter que tous les mod\u00e8les ne sont pas imm\u00e9diatement d\u00e9ployables via Vertex\u00a0AI. Une coche verte plac\u00e9e \u00e0 c\u00f4t\u00e9 du nom du mod\u00e8le indique que Google l\u2019a v\u00e9rifi\u00e9 et qu\u2019il peut \u00eatre d\u00e9ploy\u00e9.<\/p>\n

De plus, l\u2019interface propose un lien direct vers la fiche du mod\u00e8le sur Hugging\u00a0Face, permettant aux utilisateurs de consulter rapidement la documentation, la licence et d\u2019autres informations essentielles. La figure\u00a04 pr\u00e9sente un exemple de fiche de mod\u00e8le pour distilbert\/distilgpt2.<\/span><\/p>\n

\"Capture
Figure 4. Fiche du mod\u00e8le DistilGPT2<\/span> sur Hugging Face.<\/figcaption><\/figure>\n

En examinant la liste des mod\u00e8les propos\u00e9s par Vertex\u00a0AI pour un d\u00e9ploiement direct depuis Hugging\u00a0Face, et en v\u00e9rifiant si leurs auteurs originaux avaient \u00e9t\u00e9 supprim\u00e9s, nous avons identifi\u00e9 plusieurs mod\u00e8les r\u00e9utilisables. Ces mod\u00e8les r\u00e9pondent \u00e0 deux conditions\u00a0:<\/p>\n