Microsoft a intenté une action en justice contre un groupe qu'elle accuse d'avoir utilisé abusivement son service d'intelligence artificielle (IA). Selon Microsoft, ce groupe, dont l'identité n'a pas été révélée, a développé des outils lui permettant de contourner les systèmes de sécurité de ses produits d'IA. La plainte déposée indique que le groupe, composé de dix individus non identifiés, aurait dérobé lesdentd'utilisateurs.
Microsoft affirme que les accusés ont utilisé des identifiants volés dent un logiciel conçu à cet effet pour compromettre son service Azure OpenAI. Microsoft gère ce service cloud, créé par ChatGPT, la société mère d'OpenAI. Selon Microsoft, les individus en question ont enfreint plusieurs lois, dont l'une a justifié le dépôt de la plainte.
Microsoft dépose une plainte concernant un usage abusif de ses services
Dans sa plainte, Microsoft a souligné que les défendeurs, désignés sous le pseudonyme juridique « Does », ont enfreint la loi américaine sur la fraude et l'abus informatique (Computer Fraud and Abuse Act), une loi relevant du Digital Millennium Copyright Act (DMCA). L'entreprise a également allégué que ces individus ont violé une loi fédérale américaine sur le racket en accédant illégalement à ses logiciels et serveurs et en les utilisant pour créer des contenus nuisibles et illégaux.
Toutefois, Microsoft a refusé de divulguer la nature des contenus qu'elle jugeait préjudiciables et illégaux. Dans sa plainte, l'entreprise a souligné avoir découvert en juillet 2024 que certains utilisateurs disposant de clés API Azure OpenAI (une chaîne de caractères servant à authentifier une application ou un utilisateur) les utilisaient illégalement pour générer des contenus non conformes à sa politique d'utilisation acceptable.
Selon la plainte, Microsoft a découvert que les utilisateurs avaient obtenu illégalement les clés API par l'intermédiaire de certains autres utilisateurs. Dans sa déclaration, Microsoft affirme que la manière dont les clés ont été obtenues reste inconnue, mais elle est tron que les accusés les ont volées. « On ignore précisément comment les accusés ont obtenu toutes les clés API utilisées pour commettre les actes répréhensibles décrits dans la présente plainte, mais il semble qu'ils aient mis en place un système de matic leur permettant de dérober des clés API Microsoft à de nombreux clients de Microsoft », indique la déclaration.
verdict juridique et solutions d'avenir
Selon Microsoft, les accusés ciblaient principalement les utilisateurs américains. L'entreprise affirme que le groupe a utilisé les clés API volées du service Azure OpenAI pour mettre en place un système qu'il a baptisé « piratage à la demande ». La plainte indique que les accusés ont créé un outil appelé De3u, fonctionnant côté client. Ils ont également développé un autre logiciel qui traitait et acheminait les communications de De3u vers les systèmes de l'entreprise.
L'entreprise a constaté que De3u exploitait les dent pour permettre aux utilisateurs de générer des images à l'aide de DALL-E, un OpenAI accessible au public. La particularité réside dans le fait qu'ils peuvent le faire sans écrire de code. La plainte allègue également que De3u a tenté d'empêcher le service Azure OpenAI d'examiner les invites utilisées pour créer les images. Il est précisé que cela se produit uniquement lorsqu'une invite contient des mots déclenchant le système de filtrage de contenu de la plateforme.
Un dépôt contenant le code De3u, initialement hébergé sur GitHub (propriété de Microsoft), avait été supprimé au moment de la rédaction de cet article. Microsoft a indiqué que l'utilisation conjointe des clés API volées pour le service Azure OpenAI et des outils associés a permis aux accusés de contourner ses mesures de contrôle du contenu. « Ces fonctionnalités, combinées à l'accès illégal des accusés à l'matic du service Azure OpenAI par programmation, leur ont permis de reconstituer par rétro-ingénierie les moyens de contourner les mesures de Microsoft en matière de contenu et de lutte contre les abus », a déclaré l'entreprise.
Dans un récent article de blog , l'entreprise a indiqué que le tribunal avait approuvé sa demande de saisie d'un site web essentiel aux activités des défendeurs. Microsoft entend ainsi recueillir des preuves et déterminer comment le service est monétisé afin de supprimer toute infrastructure technique restante. La société a précisé avoir mis en place des mesures pour pallier ce manque, notamment de nouvelles mesures de sécurité pour le service Azure OpenAI. Elle sollicite également des mesures d'injonction, d'autres réparations équitables et des dommages-intérêts.
