Une enquête conjointe de SentinelOne et Censys révèle que 175 000 serveurs d’IA ouverte fonctionnent sans protection en ligne. Au cœur de ce réseau décentralisé, une place de marché criminelle transforme ces machines en infrastructure de fraude organisée, exposant un vide structurel dans les cadres de gouvernance mondiale.
- 175 000 serveurs Ollama accessibles via Internet dans 130+ pays
- Operation Bizarre Bazaar : première place de marché LLMjacking documentée avec attribution complète
- 48 % de ces serveurs supportent le « tool-calling », permettant l’exécution de code
- 201 hôtes exécutent des modèles avec system prompts explicitement supprimés
- Vide régulatoire : aucun acteur unique responsable de la sécurité des déploiements décentralisés
L'ampleur de l'exposition mondiale : une infrastructure IA distribuée sans superviseur
L’étude quantifie une réalité jusqu’ici peu documentée : près de 175 000 hôtes Ollama fonctionnent en permanence, accessibles directement depuis Internet dans plus de 130 pays. Ollama, plateforme open-source de déploiement de modèles d’IA, a transformé l’accès aux grands modèles de langage, mais sans mécanisme unifié d’administration ou de surveillance.
Répartition géographique et fragmentation du contrôle
La concentration géographique révèle une asymétrie notable : environ 30 % en Chine, 20 % aux États-Unis, le reste fragmenté entre l’Asie-Pacifique, l’Europe et autres régions. Ces machines hébergent principalement des variantes de modèles ouverts — Meta Llama et Google Gemma dominant le catalogue — déployées en marge de toute gouvernance centralisée.
Contrairement aux services cloud gérés (OpenAI, Anthropic), où une entreprise contrôle l’intégralité de la chaîne, ces serveurs résidentiels et d’entreprise échappent à un superviseur unique. Chaque administrateur détient autorité complète sur son déploiement : maintenir ou retirer les protections de sécurité fournies par Meta, configurer l’authentification, exposer ou isoler l’accès réseau.
Configuration et capacités d'exécution : le risque du « tool-calling »
Environ 48 % de ces hôtes supportent des capacités de « tool-calling » — permettant au modèle d’exécuter du code, d’accéder à des APIs externes ou d’interagir directement avec d’autres systèmes informatiques.
Cette différence transforme radicalement le profil de risque. Un endpoint texte seul génère un contenu nuisible isolé ; un endpoint outillé exécute des opérations privilégiées directement sur l’infrastructure exposée. Selon les chercheurs, « un endpoint capable d’exécution peut réaliser des opérations privilégiées, aggravant drastiquement le risque lorsque associé à une authentification insuffisante et une exposition réseau ».
De la vulnérabilité théorique à l'économie criminelle : Operation Bizarre Bazaar
Cas d'usage criminels documentés
L’étude identifie un spectre de menaces potentielles : phishing, désinformation, hacking, fraude, abus sexuels sur mineurs. Seules quelques catégories ont cependant fait l’objet d’exploitation réelle documentée.
La première place de marché LLMjacking : Operation Bizarre Bazaar
L’observation la plus significative concerne l’émergence d’une chaîne criminelle organisée, baptisée Operation Bizarre Bazaar et documentée par Pillar Security en janvier 2026. Cette opération fonctionne selon un modèle commercial structuré :
- Reconnaissance systématique : scanner réseau des hôtes Ollama accessibles
- Validation de qualité : test des réponses des modèles pour évaluer leur utilité
- Commercialisation : revente de l’accès via une passerelle API nommée silver.inc, proposant des tarifs réduits
L’infrastructure de revente est attribuée au threat actor connu sous le pseudonyme Hecker. Il s’agit de la « première place de marché LLMjacking documentée avec attribution complète » — marquant le passage d’une vulnérabilité théorique à une économie criminelle opérationnelle et rentable.
Protection inégale et vide régulatoire
Suppressions intentionnelles des mécanismes de sécurité
L’étude identifie 201 hôtes exécutant des modèles avec « system prompts » explicitement supprimés — les instructions conçues pour orienter le comportement du modèle et imposer des garde-corps. Ces suppressions ne sont pas des bugs logiciels, mais des choix délibérés visant à retirer les limitations de sécurité.
En parallèle, environ 7,5 % des system prompts visibles (parmi les 25 % accessibles à l’analyse) pourraient potentiellement habiliter des activités nuisibles, selon l’analyse sémantique menée par SentinelOne.
Responsabilité partagée, encadrement fragmenté
Meta, Google, Microsoft et Anthropic reconnaissent formellement une responsabilité dans cet écosystème, mais avec des degrés d’engagement variables.
Meta fournit des Llama Protection tools et un guide d’utilisation responsable. Microsoft procède à une évaluation pré-lancement et un monitoring des menaces. Ollama, Alphabet et Anthropic n’ont pas répondu aux demandes des enquêteurs.
Rachel Adams, directrice générale du Global Center on AI Governance, formule la tension centrale :
« Les labs ne sont pas responsables de chaque usage malveillant en aval — difficiles à anticiper — mais ils conservent un important devoir de diligence pour anticiper les préjudices prévisibles, documenter les risques et fournir des outils d’atténuation, notamment compte tenu de capacités de gouvernance mondiale inégales. »
L'asymétrie structurelle : décentralisation sans supervision
Juan Andrés Guerrero-Saade, directeur exécutif de la recherche en intelligence et sécurité chez SentinelOne, décrit le phénomène comme un « iceberg » que l’industrie traite mal : une capacité clairement exploitée à des fins légales et criminelles, mais demeurant invisible aux cadres de gouvernance standard.
Cette asymétrie ne résulte pas d’une faille technique, mais d’une fragmentation architecturale fondamentale. Un service cloud centralisé applique des protections uniformes. Un écosystème Ollama décentralisé place l’autorité chez des milliers d’administrateurs autonomes : certains maintiennent les garde-corps, d’autres les désactivent volontairement, aucun mécanisme unifié ne supervise cette divergence à l’échelle globale.
Gouvernance décentralisée : le défi inédit de la régulation distribuée
L’infrastructure observée combine réseaux cloud traditionnels et déploiements résidentiels, compliquant l’application de toute politique centralisée. Contrairement au modèle SaaS, où une entreprise contrôle l’intégralité de la chaîne, les hôtes Ollama autonomes demeurent inaccessibles à un régulateur unique.
Les chercheurs notent que cette réalité distribuée « exige des approches nouvelles qui distinguent les déploiements cloud gérés de l’infrastructure edge distribuée » — reconnaissant que les outils de gouvernance actuels ne s’adaptent pas à cette architecture fragmentée.
De l'incident isolé à l'infrastructure systémique
L’étude révèle non pas quelques incidents isolés, mais une infrastructure parallèle d’IA ouverte opérant sans consensus sur la sécurité. Les cas d’exploitation documentés prouvent que cette exposition n’est pas théorique, mais activement exploitée pour des gains criminels mesurables.
La convergence de trois facteurs crée une tension structurelle :
- Exposition massive : 175 000 serveurs accessibles sans barrière centrale
- Inégalité de protection : suppressions volontaires de sécurité à l’échelle locale
- Exploitation documentée : Operation Bizarre Bazaar rentabilise l’accès
Cette configuration pose une question de gouvernance plus large : qui supervise, et selon quels critères, un écosystème dont la nature même est la décentralisation ? Les réponses existantes — responsabilité partagée, outils d’atténuation, guides d’utilisation — reposent implicitement sur une conformité volontaire des administrateurs individuels, une hypothèse que le terrain contredit.
FAQ
Combien de serveurs Ollama sont exposés publiquement ?
175 000 serveurs IA accessibles via Internet dans 130+ pays.
Qu'est-ce que Operation Bizarre Bazaar ?
Une place de marché criminelle qui identifie, valide et revend l’accès à des serveurs Ollama via une API commerciale (silver.inc).
Pourquoi 48 % de ces serveurs représentent un risque accru ?
Ils disposent du « tool-calling », permettant l’exécution de code et l’accès à des APIs externes directes.
Qui est responsable de la sécurité des déploiements Ollama décentralisés ?
Aucun acteur unique : Meta fournit des outils, mais les administrateurs individuels gardent le contrôle, créant un vide de gouvernance.
Comment les criminels exploitent-ils ces serveurs ?
Reconnaissance automatisée, validation de la qualité, revente d’accès à bas coût aux fraudeurs.
Leave a Reply