Incidents associés
Microsoft a étendu sa plainte contre un groupe de cybercriminels accusé d'avoir développé des outils contournant les mesures de sécurité des services d'IA générative (GenAI). Dans une plainte mise à jour, l'entreprise a publiquement nommé plusieurs personnes soupçonnées d'avoir créé et distribué ces outils, facilitant ainsi l'accès non autorisé aux systèmes d'IA.
La plainte a été initialement déposée en décembre 2024 dans le district Est de Virginie contre des individus non identifiés, accusés d'avoir enfreint la loi américaine et les politiques de Microsoft. L'entreprise allègue que le réseau de cybercriminalité, connu sous le nom de Storm-2139, a obtenu des identifiants clients exposés auprès de sources publiques et les a utilisés pour obtenir un accès non autorisé aux services GenAI (https://www.techmonitor.ai/technology/cybersecurity/ai-data-security-risks-escalate-enterprises-push-genai-adoption), notamment à Azure OpenAI de Microsoft.
Une fois à l'intérieur des systèmes, les membres du groupe auraient altéré les capacités de l'IA et revendu l'accès à d'autres personnes. Microsoft affirme que ces outils permettaient aux utilisateurs de générer du contenu illicite, notamment des images intimes non consensuelles de célébrités et d'autres contenus sexuellement explicites. L'entreprise a déclaré que ces activités constituaient une violation directe de ses conditions d'utilisation et nécessitaient des efforts délibérés pour contourner les mesures de sécurité. Afin d'empêcher toute nouvelle diffusion de contenu préjudiciable, Microsoft a omis de divulguer les noms des personnes concernées et n'a pas inclus d'images de synthèse ni d'invites dans ses documents juridiques.
La plainte mise à jour identifie quatre personnes soupçonnées d'être des acteurs clés de Storm-2139. Microsoft a identifié Arian Yadegarnia d'Iran, connu en ligne sous le nom de « Fiz », Alan Krysiak du Royaume-Uni, surnommé « Drago », Ricky Yuen de Hong Kong (Chine), utilisant le pseudonyme « cg-dot », et Phát Phùng Tấn du Vietnam, surnommé « Asakuri ». L'entreprise affirme que ces individus ont joué un rôle central dans le développement et la distribution des outils permettant l'utilisation abusive de l'IA.
Selon l'enquête de Microsoft, le réseau de cybercriminalité fonctionne de manière structurée, avec trois rôles principaux. Les « créateurs » sont responsables du développement des logiciels permettant la manipulation des systèmes d'IA. Les « fournisseurs » modifient et distribuent ces outils, offrant souvent différents niveaux d'accès contre rémunération. Les « utilisateurs » utilisent ces outils pour générer du contenu synthétique contraire aux politiques de Microsoft, notamment des images à caractère sexuel et des deepfakes de célébrités.
Outre les quatre individus cités, Microsoft a identifié deux acteurs basés aux États-Unis. Cependant, leurs identités restent confidentielles en raison d'éventuelles enquêtes criminelles en cours.
Saisie du site web et perturbation des activités
Dans le cadre de cette action en justice, le tribunal a accordé à Microsoft une ordonnance de restriction temporaire et une injonction préliminaire, autorisant l'entreprise à saisir un site web prétendument essentiel aux activités de Storm-2139. Ce site aurait été utilisé pour faciliter l'accès non autorisé aux services d'IA de Microsoft et distribuer des outils permettant de contourner les contrôles de sécurité.
La saisie du site web a provoqué d'importantes perturbations au sein du groupe. Microsoft a constaté des conflits internes entre les membres, certains spéculant sur l'identité des personnes visées par la plainte, tandis que d'autres tentaient de rejeter la responsabilité. Des discussions sur des canaux de communication privés ont révélé une inquiétude croissante parmi les membres du groupe quant aux conséquences juridiques potentielles de leurs activités.
Suite à la divulgation des documents judiciaires en janvier, des membres de Storm-2139 auraient procédé à des actes de doxing contre les représentants légaux de Microsoft. Des informations personnelles, notamment les noms, adresses et photographies des avocats de Microsoft, ont été publiées sur des forums en ligne. Les incidents de doxing ont été associés à des risques tels que l'usurpation d'identité, le harcèlement et les menaces contre des personnes impliquées dans des procédures judiciaires.
Outre la divulgation publique d'informations personnelles, l'équipe juridique de Microsoft a reçu une série d'e-mails, dont certains provenaient d'individus soupçonnés d'avoir participé à la tempête 2139. Ces messages auraient tenté de rejeter la responsabilité sur d'autres membres de l'opération cybercriminelle.
Microsoft a annoncé préparer des saisines pénales auprès des forces de l'ordre américaines et internationales. Cette action en justice repose sur de multiples violations présumées, notamment la loi sur la fraude et les abus informatiques (CFAA), la loi sur le droit d'auteur du millénaire numérique (DMCA), la loi Lanham et la loi sur les organisations influencées par le racket et la corruption (RICO). L'entreprise intente également des poursuites en vertu de la loi de l'État de Virginie pour violation de propriété et intrusion délictuelle.