Comment une attaque cloud basée sur l’IA mène à un compte admin en quelques minutes

En moins de dix minutes, un environnement cloud peut aujourd’hui basculer sous le contrôle d’un hacker malveillant, avec l’aide de la GenAI. C’est le constat dressé par l’éditeur de sécurité cloud-native Sysdig, qui a récemment observé une intrusion éclair dans un environnement Amazon Web Services. L’attaquant n’a mis que huit minutes pour passer d’un accès initial à des droits administrateur, après avoir découvert des identifiants exposés dans des buckets Amazon S3 publics contenant notamment des données liées à des architectures d’IA de type Retrieval-Augmented Generation (RAG).

Dans son rapport, la Sysdig Threat Research Team (TRT) explique que les identifiants compromis appartenaient à un utilisateur IAM doté de droits en lecture et écriture sur AWS Lambda et de permissions limitées sur Amazon Bedrock. Ce compte semblait avoir été créé pour automatiser des tâches Bedrock via des fonctions Lambda. Les buckets ciblés utilisaient des conventions de nommage typiques d’outils d’IA, que l’attaquant aurait activement recherchées durant la phase de reconnaissance.