Face à l’exploitation malveillante de ses outils d’IA, Microsoft déploie des mesures juridiques et techniques pour neutraliser un réseau de cybercriminels qui exploitait des clés d’accès volées pour générer et distribuer du contenu contraire aux politiques de sécurité, en exploitant illégalement les solutions Azure OpenAI Services. Une affaire qui n’est malheureusement probablement qu’un début…
Microsoft a cette semaine intensifié son combat contre les cybercriminels qui cherchent à contourner les garde-fous de ses services d’IA génératives à commencer par le célèbre Microsoft Copilot. La Digital Crimes Unit (DCU) de Microsoft vient de déposer une plainte auprès du tribunal fédéral du district Est de Virginie (États-Unis) afin de protéger la sécurité et l’intégrité de ses solutions cloud, dont l’Azure OpenAI Service, animé par les technologies GPT-4o et DALL-E d’OpenAI.
Selon la plainte, un groupe de dix défendeurs anonymes, qualifiés de “Does”, a mis au point des outils et des méthodes sophistiqués pour s’introduire illégalement dans des comptes de clients Azure OpenAI. Les investigations de Microsoft ont débuté à l’été 2024, lorsque l’entreprise a remarqué que des clés API (ces identifiants permettant à un utilisateur ou une application de se connecter à un service) se trouvaient en libre accès sur des forums ou des sites publics.
Les cybercriminels auraient ainsi récupéré ces clés volées auprès de divers clients payants, puis les auraient employées pour générer du contenu allant à l’encontre des politiques d’utilisation de Microsoft, notamment du contenu « offensant » ou « illicite ». Pire encore, le groupe se serait lancé dans la revente de cet accès illégal à d’autres acteurs malveillants, leur fournissant au passage des instructions détaillées pour profiter à leur tour de ces outils.
Un outil “de3u” malveillant mais bigrement malin
Au centre de ce dispositif frauduleux se trouve un logiciel baptisé “de3u”. D’après les éléments de la plainte, ce programme se connectait directement au service Azure OpenAI pour générer des images via DALL-E sans exiger de compétences techniques particulières. Les cybercriminels s’en servaient pour contourner les mesures de filtrage et de contrôle mises en place par Microsoft, notamment celles qui modifient ou rejettent automatiquement des requêtes comportant des termes jugés contraires à la politique d’usage.
Cette approche “clé en main” a facilité la création et la diffusion de contenu malveillant, voire potentiellement illégal. Les auteurs de “de3u” auraient même travaillé à masquer ou à contourner les vérifications habituelles afin d’éviter que Microsoft ne repère les activités suspectes.
Microsoft en contre-attaque
Face à la découverte de cette campagne, Microsoft a adopté plusieurs mesures :
1/ Une Action judiciaire : la plainte exige une injonction pour mettre fin à ces pratiques, ainsi que des dommages et intérêts. Cette démarche s’appuie notamment sur des lois américaines telles que le Computer Fraud and Abuse Act (CFAA) et le Digital Millennium Copyright Act (DMCA).
2/ La saisie et l’analyse d’infrastructures : le tribunal a autorisé la saisie d’un site web jugé « instrumental » dans l’opération. L’objectif est d’examiner plus en profondeur le fonctionnement du réseau criminel, de comprendre sa structure de monétisation et de mettre hors d’état de nuire toute plateforme qui hébergerait ces outils.
3/ Le renforcement des mesures de sécurité : Microsoft affirme avoir révoqué les clés d’accès compromises, supprimé le contenu illégal hébergé sur GitHub et renforcé les systèmes de protection d’Azure OpenAI Service.
L’affaire illustre un enjeu majeur : protéger la technologie d’IA, en particulier générative, contre les dérives ou les usages criminels. C’est d’ores et déjà l’un des grands défis Cyber de 2025, largement identifié par tous les analystes. Microsoft rappelle dans un rapport intitulé « Protecting the Public From Abusive AI-Generated Content » que les entreprises et les gouvernements doivent unir leurs efforts pour instaurer des garde-fous techniques et législatifs. En menant cette action en justice, l’éditeur américain veut envoyer un message clair : l’exploitation de ses services d’IA pour des fins malveillantes ne saurait être tolérée. À travers sa Digital Crimes Unit, Microsoft entend poursuivre et prévenir ces abus.
puis