NVIDIA serait entrée en contact avec les responsables de la « bibliothèque clandestine » Anna’s Archive selon des documents d’un procès en cours contre l’entreprise.

En mars 2024, NVIDIA a été attaquée par cinq auteurs de livres pour violation du copyright pour avoir entrainé ses modèles sur une compilation de livres dans laquelle apparaissent leurs textes.

Notamment, ces auteurs pointaient l’utilisation de « bibliothèques clandestines » comme Anna’s Archive.

• La bibliothèque clandestine Anna’s Archive perd son .org

Dans un texte ajouté au dossier, les avocats des auteurs citent plusieurs documents internes à NVIDIA montrant que l’entreprise a contacté le projet Anna’s Archive. « À la recherche désespérée de livres, NVIDIA a contacté Anna’s Archive, la plus grande et la plus effrontée des bibliothèques clandestines encore existantes, afin d’acquérir ses millions de documents piratés et « d’inclure Anna’s Archive dans les données de pré-entraînement de nos LLM » », rapporte TorrentFreak. L’entreprise a contacté les responsables de la bibliothèque clandestine pour obtenir un « accès à de grands volumes de jeux de données uniques et de haute qualité » en éclaircissant si besoin était leur demande avec la précision « c’est-à-dire des livres ».

« Comme Anna’s Archive facturait des dizaines de milliers de dollars pour un « accès haut débit » à ses collections piratées voir https://annas-archive.org/llm, NVIDIA a cherché à savoir à quoi ressemblerait un « accès haut débit » à ces données », explique le document associé à la plainte [PDF].

Toujours selon les avocats des auteurs, l’équipe de management de NVIDIA aurait donné le feu vert à cette utilisation alors qu’Anna’s Archive avait bien précisé la nature illégale de ses collections.

Dans un message sur une liste de diffusion, Daniel Stenberg (ancien de Mozilla et créateur de cURL), a fait part de son agacement contre les signalements de failles générés par IA qui prennent de plus en plus de temps pour pas grand-chose :

« Nous avons commencé la semaine en recevant sept signalements sur HackerOne en seize heures. Certains n’étaient que des bugs et s’en occuper a pris un certain temps. Finalement, nous avons conclu qu’aucun d’eux n’avait identifié de vulnérabilité et nous comptons déjà vingt soumissions effectuées en 2026 ».

cURL est donc en train de sortir de tout programme du genre Hackerone pour essayer de limiter les « rapports de piètre qualité et mal documentés. Générés par IA ou non. Le flot actuel de soumissions met à rude épreuve la sécurité de cURL », ajoute-t-il.

Daniel Stenberg garde espoir de continuer « à recevoir des signalements de failles de sécurité réelles, même sans compensation financière. L’avenir nous le dira ». Dans tous les cas, la suppression de « toute mention d’une prime et de HackerOne » devrait être une réalité dans cURL d’ici la fin du mois de janvier.

Dans son message, il revient aussi sur sa réaction sur les réseaux sociaux où il a « publiquement ridiculisé » (ce sont ses propres mots) une des personnes ayant soumis un rapport « absurde généré par IA ». Le pirate en herbe affirme que ce message aurait « ruiné sa carrière », tandis que Daniel Stenberg rappelle que tout ce qu’il a sur cette personne est « un pseudonyme de hacker utilisé une fois dans un rapport ».

« Il faut trouver un juste milieu, bien sûr, mais je reste convaincu que dénoncer, discuter et ridiculiser ceux qui nous font perdre notre temps est l’un des meilleurs moyens de faire passer le message : il ne faut JAMAIS signaler un bug ou une vulnérabilité sans le comprendre parfaitement ni le reproduire. Si vous le faites malgré tout, je pense avoir le droit de me moquer de la personne concernée et d’être en colère contre elle. Bien sûr, il faut aussi savoir se modérer », indique-t-il pour finir sur ce sujet.

L’Urssaf a publié lundi 19 janvier au soir une alerte relative à « un accès non autorisé à l’API (interface d’échanges) contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels ».

Cette intrusion aurait permis la consultation ou l’extraction de données relatives à des salariés « ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans ». Les informations concernées sont « nom, prénom, date de naissance, Siret de l’employeur, date d’embauche », indique l’organisme.

L’accès aurait été réalisé via un compte partenaire, grâce à des identifiants dérobés lors d’une attaque survenue plus tôt et ayant visé ce partenaire. Les systèmes d’information de l’Urssaf n’auraient pas été compromis, et la continuité de service est assurée pour la déclaration préalable à l’embauche.

« Les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement », promet l’Urssaf, qui indique avoir immédiatement pris les mesures nécessaires, mis fin aux accès du compte compromis et augmenté la « sécurisation des habilitations des partenaires pour limiter les risques ».

L’Urssaf ne précise pas nommément qui sont les victimes potentielles mais chiffre à 12 millions de salariés le périmètre de salariés concernés.

L’organisme en charge des cotisation sociales avait déjà été victime d’un incident de cybersécurité en novembre dernier. Il concernait alors le service Pajemploi (formalités entre parents employeurs et gardes d’enfants), et avait exposé « jusqu’à 1,2 million de salariés de particuliers employeurs ».