Source et contexte — Microsoft Security (Microsoft Defender Security Research Team) présente “Whisper Leak”, une nouvelle attaque par canal auxiliaire visant les modèles de langage à distance en mode streaming. Un adversaire capable d’observer le trafic réseau chiffré (TLS) peut inférer le sujet d’une conversation en se basant sur la taille des paquets et leurs timings, malgré le chiffrement de bout en bout. 🕵️♂️🔒
Détails techniques — L’attaque s’appuie sur les spécificités du streaming token-par-token des LLM et sur le fait que, hors compression, la taille du ciphertext reflète celle du plaintext (± constantes) avec les chiffrements symétriques (AES-GCM, ChaCha20). Les auteurs s’inscrivent dans la lignée de travaux 2024 sur les fuites de longueur de tokens, attaques de timing (speculative decoding), comptage de tokens de sortie et cache sharing. Hypothèse validée : la séquence de tailles de paquets et d’inter-arrivées permet de classifier le thème du prompt, même si la sortie est groupée.
Méthodologie et résultats — Preuve de concept via un classifieur binaire ciblant le thème “légalité du blanchiment d’argent”. Données: 100 variantes de questions (80 entraînement/validation, 20 test) vs 11 716 questions aléatoires (Quora). Collecte par tcpdump des tailles et temps d’arrivée, avec insertion d’espaces pour éviter les effets de cache et température=1.0. Modèles évalués (temps seul, taille seule, ou combiné): LightGBM, Bi-LSTM, BERT (DistilBERT adapté). Mesure: AUPRC. De nombreux modèles dépassent 98% d’AUPRC. En simulation d’écoute de 10 000 conversations avec 1 seule sensible, certains modèles atteignent 100% de précision tout en capturant 5–50% des cibles (peu de faux positifs). Les auteurs notent que l’efficacité augmente avec la quantité de données et potentiellement avec des conversations multi-tours. 📡📈
TTPs observées
- Observation de trafic chiffré TLS et analyse de tailles/timings (side-channel réseau)
- Reconstruction sémantique partielle par classification de sujet à partir d’empreintes de streaming
- Entraînement de classifieurs ML (LightGBM, Bi-LSTM, DistilBERT adapté) sur traces réseau
IOCs
- Aucun IOC partagé
Impact et portée — Menace pratique pour des observateurs placés à des points d’écoute (FAI/ISP, réseau local, même Wi-Fi). Risques évoqués pour des sujets sensibles (protestations, contenus interdits, élections, journalisme), même sous HTTPS. Les résultats constituent un niveau de risque de départ, avec potentiel d’aggravation si plus de données et de sophistication sont disponibles. 🚨
Réponse industrielle et mitigations — Microsoft a coordonné une divulgation responsable. OpenAI, Microsoft (Azure), Mistral et xAI ont déployé des protections. OpenAI, répliqué par Azure, ajoute un champ d’output streaming “obfuscation” (séquence aléatoire de longueur variable) qui masque la longueur des tokens; Microsoft indique que la mitigation Azure réduit l’efficacité à un niveau non praticable. Mistral introduit un paramètre “p” à effet similaire. Le billet mentionne aussi des mesures côté utilisateurs (éviter les sujets très sensibles sur réseaux non fiables, VPN, préférer non-streaming ou fournisseurs mitigés). Le code de collecte et les modèles sont publiés dans le dépôt “Whisper Leak”. Type d’article: publication de recherche visant à documenter la menace, mesurer son efficacité et partager des mitigations.
🧠 TTPs et IOCs détectés
TTP
Observation de trafic chiffré TLS et analyse de tailles/timings (side-channel réseau), Reconstruction sémantique partielle par classification de sujet à partir d’empreintes de streaming, Entraînement de classifieurs ML (LightGBM, Bi-LSTM, DistilBERT adapté) sur traces réseau
IOC
Aucun IOC partagé
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/11/07/whisper-leak-a-novel-side-channel-cyberattack-on-remote-language-models/