NVIDIA a publié une mise à jour logicielle samedi pour aborder les vulnérabilités critiques dans son serveur Triton, identifiée par la société de cybersécurité Asce qui pourrait permettre la prise de contrôle du modèle AI, le vol de données et la manipulation de la réponse.
Les vulnérabilités, jugées «critiques» par Wiz, concernent le serveur Triton de Nvidia, employée par les clients pour exécuter des modèles d’intelligence artificielle. Le fait de ne pas corriger ces vulnérabilités pourrait entraîner un contrôle non autorisé des modèles d’IA, l’exfiltration de données sensibles et la manipulation des réponses de l’IA. Nir Ohfeld, responsable de la recherche de vulnérabilité de Wiz, a déclaré que Wiz Research avait découvert une chaîne de vulnérabilité permettant à un attaquant sans accès préalable pour obtenir un contrôle complet d’un serveur d’IA.
Cette attaque initie avec un bogue mineur qui fait fuir le serveur un petit morceau de données internes secrètes. Un attaquant peut ensuite tirer parti de ces données divulguées pour exploiter l’une des fonctionnalités légitimes du serveur, prenant ainsi le contrôle d’un composant système privé, qui fournit le pied initial nécessaire pour intensifier les privilèges et réaliser une prise de contrôle complète du serveur.
Triton fonctionne comme un logiciel d’inférence open source développé par NVIDIA, conçu pour optimiser le déploiement et les performances des modèles d’intelligence artificielle. Alors que la liste complète des utilisateurs de Triton reste non divulguée, des entreprises éminentes telles que Microsoft, Amazon, Oracle, Siemens et American Express utilisent le logiciel.
Un communiqué de presse en 2021 a indiqué que plus de 25 000 entreprises emploient la pile d’IA de NVIDIA. Le porte-parole de Nvidia n’a pas fourni d’autres commentaires au-delà de la référence au bulletin de sécurité de l’entreprise concernant ces questions. Les vulnérabilités ont été officiellement attribuées aux identifiants CVE-2025-23319, CVE-2025-23320 et CVE-2025-23334.
Nvidia étend la prise en charge de Windows 10, ajoute des moniteurs G-Sync
Ohfeld a souligné que l’étape la plus cruciale pour les utilisateurs est de mettre à jour la version correcée du NVIDIA Triton Inference Server, en particulier la version 25.07 ou plus récente, car cela résout directement toute la chaîne de vulnérabilité. Il a également noté qu’il n’y a actuellement aucune preuve que ces vulnérabilités spécifiques soient activement exploitées dans des scénarios du monde réel, bien que Nvidia Triton soit une plate-forme largement utilisée pour les charges de travail de l’IA.
Les technologies émergentes ont été confrontées à des vulnérabilités de sécurité importantes en 2025. Dans le secteur des crypto-monnaies, par exemple, les exploits ont entraîné des pertes financières substantielles. Hacken, un vérificateur de la Blockchain Security, a indiqué que les défauts d’accès et les bogues de contrats intelligents avaient contribué à 3,1 milliards de dollars perdus dans les exploits cryptographiques au cours de la première moitié de 2025. Ce montant dépasse les pertes totales enregistrées tout au long de 2024.
