HuggingFace CVE-2026-4372 : RCE par fichier de config IA

Une faille critique exposée dans le cœur de l'écosystème IA open source

Des chercheurs en sécurité ont révélé une vulnérabilité critique dans la bibliothèque HuggingFace Transformers, officiellement répertoriée sous l'identifiant CVE-2026-4372. Cette faille permet à un attaquant de provoquer l'exécution de code Python arbitraire sur la machine d'une victime au simple moment du chargement d'un modèle IA — sans que l'utilisateur ne réalise que quelque chose d'anormal se produit. La bibliothèque Transformers, maintenue par HuggingFace, est l'une des plus utilisées au monde pour l'entraînement, le déploiement et l'inférence de modèles de traitement du langage naturel et d'IA générative.

Le vecteur d'attaque est particulièrement insidieux. La vulnérabilité réside dans la manière dont la bibliothèque traite l'attribut _attn_implementation_internal lors du chargement d'un fichier de configuration de modèle (config.json). Un attaquant peut injecter une valeur malveillante dans cet attribut à l'intérieur d'un modèle distribué publiquement sur le Hub HuggingFace ou via tout autre canal de partage. Lorsque la victime charge le modèle avec l'instruction AutoModel.from_pretrained(), la bibliothèque exécute silencieusement le code injecté dans le processus courant, avec les privilèges de l'utilisateur qui l'exécute.

Ce qui rend la CVE-2026-4372 particulièrement grave est qu'elle contourne le mécanisme de protection trust_remote_code. Ce paramètre, présent dans la bibliothèque depuis plusieurs versions, est censé protéger les utilisateurs contre l'exécution de code non vérifiable provenant de modèles distants. Lorsque trust_remote_code=False (valeur par défaut), la bibliothèque est supposée refuser tout code personnalisé fourni par le créateur du modèle. La CVE-2026-4372 exploite un chemin de code distinct qui échappe entièrement à ce contrôle, rendant la protection inefficace dans toutes les versions affectées.

La fenêtre d'exposition est considérable. D'après les chercheurs, le code vulnérable a été introduit dans la version 4.56.0 de la bibliothèque, publiée en août 2025. La faille est restée exploitable jusqu'en mars 2026, date à laquelle une version corrective a été préparée en coulisses. Le correctif officiel a été intégré dans la version 5.3.0, dont la disponibilité publique a coïncidé avec la divulgation coordonnée de la CVE. Cette chronologie représente une fenêtre de vulnérabilité d'environ six mois pendant laquelle des millions d'installations étaient potentiellement compromettables.

L'ampleur de l'exposition est vertigineuse : les versions affectées de HuggingFace Transformers ont enregistré environ 232 millions de téléchargements sur PyPI durant cette période. Ce chiffre ne correspond pas à 232 millions d'installations uniques — beaucoup sont des pipelines CI/CD, des environnements d'entraînement cloud et des images Docker reconstruites régulièrement — mais il illustre le périmètre potentiel de la menace. Toute organisation utilisant la bibliothèque dans ses pipelines d'IA et chargeant des modèles tiers depuis le Hub HuggingFace ou d'autres sources est potentiellement concernée.

Le scénario d'attaque le plus probable implique un acteur malveillant publiant un modèle apparemment légitime sur le Hub HuggingFace — un fine-tune de LLaMA, un modèle de classification d'images ou un embedder spécialisé — avec un fichier config.json modifié pour contenir le payload malveillant. Les chercheurs ont démontré que le code peut s'exécuter sans déclencher d'avertissement visible. Une fois exécuté, le payload dispose de tous les droits du processus courant et peut exfiltrer des données, déposer un implant persistant, accéder à des secrets d'environnement (clés AWS, tokens d'API) ou pivoter vers d'autres systèmes du réseau interne.

HuggingFace a réagi en publiant la version 5.3.0 qui bloque les attributs internes non sûrs lors de l'analyse de la configuration et renforce les contrôles sur le chargement de noyaux optionnels. La mise à jour garantit que l'exécution de code externe requiert désormais un consentement explicite via trust_remote_code=True, et que ce mécanisme ne peut plus être contourné par les chemins d'attributs internes. HuggingFace a également procédé à une analyse rétrospective de son Hub pour identifier les modèles ayant pu exploiter cette technique.

Les versions affectées couvrent HuggingFace Transformers 4.56.0 à 5.2.x lorsque le paquet optionnel kernels est installé conjointement. Les utilisateurs de versions antérieures à 4.56.0 ne sont pas concernés par ce vecteur spécifique. La mise à jour vers la version 5.3.0 ou ultérieure est la seule action corrective recommandée : aucun contournement (workaround) n'a été publié pour les versions affectées, ce qui rend la mise à jour impérative pour toute organisation exposée.

Une alerte sur la sécurité de la chaîne d'approvisionnement IA

La CVE-2026-4372 illustre de manière frappante un risque systémique encore largement sous-estimé : la chaîne d'approvisionnement des modèles IA. Contrairement aux dépendances logicielles classiques — où l'audit du code source d'une bibliothèque est techniquement possible — les modèles IA distribués sur des hubs publics comme HuggingFace, Ollama ou Civitai sont des artefacts en partie opaques. Leurs fichiers de configuration, leurs poids et leurs scripts associés peuvent contenir du code exécutable difficile à inspecter sans outils spécialisés, et il n'existe pas encore de standard universellement adopté pour signer cryptographiquement ces artefacts.

Ce vecteur d'attaque n'est pas nouveau conceptuellement : la recherche en sécurité avait démontré dès 2023 que les fichiers pickle (format couramment utilisé pour sérialiser les poids de modèles PyTorch) pouvaient embarquer du code arbitraire. La CVE-2026-4372 démontre que les vecteurs se diversifient : désormais, même un fichier JSON de configuration — réputé inoffensif — peut servir de point d'entrée. Cette évolution du paysage des menaces doit inciter les équipes de sécurité à considérer les modèles IA comme des artefacts à risque, au même titre que les images de conteneurs ou les packages npm.

Du point de vue des entreprises, la gestion du risque exige plusieurs actions concrètes. En priorité, il faut auditer les pipelines d'IA qui chargent des modèles depuis des sources externes et vérifier que HuggingFace Transformers est mis à jour vers la version 5.3.0. À moyen terme, il est recommandé de mettre en place un registre interne de modèles approuvés, similaire aux registres de conteneurs privés utilisés pour maîtriser les images Docker en production. Des outils comme ModelScan ou les fonctionnalités de sécurité du Hub HuggingFace Enterprise peuvent aider à détecter les modèles suspects avant leur utilisation en production.

L'incident rappelle également l'importance de l'isolation des environnements d'exécution pour les charges de travail IA. Charger des modèles dans des environnements sandboxés, avec des droits réseau et filesystem minimaux, limite significativement l'impact d'une exploitation réussie. Cette pratique, courante dans les SOC pour l'analyse de malwares, devrait devenir standard dans tout pipeline d'intégration de modèles IA tiers, en particulier lorsque ces modèles proviennent de sources non vérifiées ou d'auteurs inconnus sur des hubs publics.

Ce qu'il faut retenir

• CVE-2026-4372 permet l'exécution de code arbitraire au chargement d'un modèle HuggingFace, même avec trust_remote_code=False — le contournement du mécanisme de protection est au cœur de la gravité de la faille.
• 232 millions de téléchargements effectués pendant la fenêtre de six mois (août 2025 - mars 2026) créent un risque de compromission étendu pour tous les pipelines IA utilisant des modèles tiers.
• Action immédiate : mettre à jour HuggingFace Transformers vers la version 5.3.0 et auditer les pipelines qui chargent des modèles depuis des sources externes non vérifiées.