Retour au blog
11 mai 20265 min de lecture

Vulnérabilité critique Ollama : fuite mémoire à distance et risques pour les LLM en entreprise

Vulnérabilité critique dans Ollama : fuite mémoire à distance et risques pour les déploiements LLM

L’intelligence artificielle (IA) transforme rapidement le paysage des entreprises, stimulant innovation et efficacité. Mais cette accélération introduit de nouveaux vecteurs de menace, qui exigent une vigilance continue et une gestion proactive des risques. Une vulnérabilité critique a récemment été identifiée dans Ollama, plateforme open source très utilisée pour exécuter des grands modèles de langage (LLM) en local — un rappel clair des enjeux de sécurité des infrastructures IA.

CVE-2026-7482 : la fuite mémoire « Bleeding Llama »

Des chercheurs en cybersécurité ont mis en évidence une lecture hors limites (out-of-bounds read) dans Ollama, référencée CVE-2026-7482 et surnommée « Bleeding Llama » par Cyera. Avec un score CVSS de 9,1 (critique), elle permet à un attaquant distant et non authentifié d’exfiltrer la mémoire complète du processus Ollama. Il est estimé que la vulnérabilité pourrait toucher plus de 300 000 serveurs exposés dans le monde, ce qui représente un risque majeur pour les organisations qui s’appuient sur Ollama pour leurs LLM.

Que signifie une lecture hors limites ?

En bref, le programme lit une zone mémoire au-delà des bornes prévues. Cela peut exposer des données sensibles qui ne devraient pas être accessibles : des octets arbitraires lus dans la mémoire adjacente.

Dans Ollama, le problème se situe dans le chargeur de modèles GGUF (GPT-Generated Unified Format), notamment dans la fonction WriteTo() pendant la quantification, lors de la création d’un modèle à partir d’un fichier GGUF via l’endpoint /api/create. Si un attaquant fournit un GGUF malveillant où le décalage (offset) et la taille d’un tenseur dépassent la taille réelle du fichier, le serveur lit au-delà du tampon alloué — d’où la fuite.

L’impact d’une fuite mémoire sur l’infrastructure IA

Une exploitation réussie de CVE-2026-7482 peut avoir des conséquences graves pour la confidentialité des données. La mémoire du processus peut contenir notamment :

  • Variables d’environnement exposant des réglages sensibles.
  • Clés API ouvrant l’accès à des services internes ou externes.
  • Prompts système révélant logiques métier ou secrets.
  • Données de sessions utilisateurs concurrentes, avec risques privacy et conformité.

Un attaquant peut exfiltrer ces éléments en poussant l’artefact résultant vers un registre sous contrôle via /api/push. Selon Dor Attias, chercheur chez Cyera : « Un attaquant peut apprendre pratiquement tout sur l’organisation via l’inférence de son IA : clés API, code propriétaire, contrats clients, et bien plus. » Si Ollama est couplé à des outils comme Claude Code, l’impact s’amplifie : une partie substantielle du flux peut aboutir sur le serveur Ollama.

Ollama sur Windows : deux failles d’update menant à de la persistance

Au-delà de la fuite mémoire, des chercheurs de Striga ont documenté deux vulnérabilités dans le mécanisme de mise à jour Ollama sous Windows, exploitables en chaîne pour obtenir une exécution de code persistante.

Divulguées en janvier 2026 et toujours sans correctif officiel au moment de la communication, elles concernent Ollama Windows 0.12.10 à 0.17.5 :

  • CVE-2026-42248 (CVSS : 7,7) — absence de vérification de signature. Contrairement à macOS, le client Windows ne vérifie pas la signature du binaire de mise à jour avant installation, ouvrant la voie à des binaires malveillants.
  • CVE-2026-42249 (CVSS : 7,7) — path traversal. Le programme de mise à jour construit le chemin de préparation à partir d’en-têtes HTTP non assainis, permettant des écritures en dehors des répertoires attendus.

Combinées au démarrage automatique du client à l’ouverture de session Windows, elles peuvent permettre, sous contrôle du serveur de mises à jour, d’installer persistance, shells inverses, vol de secrets navigateur ou clés SSH, ou déploiement de droppers.

Recommandations et contre-mesures

Sécuriser les déploiements LLM et l’hôte sous-jacent est indispensable :

  • Mise à jour immédiate : portez Ollama au moins en 0.17.1 pour CVE-2026-7482. Pour Windows, désactivez les mises à jour automatiques et retirez les raccourcis Ollama du dossier de démarrage (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) tant que les failles d’update ne sont pas corrigées.
  • Restriction réseau : limitez l’exposition aux IP/ports strictement nécessaires ; évitez l’Internet public si possible.
  • Audit des instances exposées : inventoriez et corrigez toute instance visible depuis l’extérieur ou des réseaux non fiables.
  • Isolation / segmentation : placez Ollama dans des segments dédiés avec pare-feu stricts pour limiter le mouvement latéral.
  • Authentification : l’API REST Ollama n’authentifie pas par défaut — placez un proxy d’authentification ou une API gateway devant chaque instance.
  • Durcissement OS : bonnes pratiques Linux et Windows — permissions, services inutiles, durcissement système.
  • Surveillance continue : détectez connexions anormales et signes d’exfiltration liés aux charges LLM.
  • Revue des déploiements LLM : rotation et protection des clés, prompts système, données utilisateurs.

ITCS VIP : sécurité de l’IA et de l’infrastructure

Chez ITCS VIP, la sécurité autour de l’IA est une priorité opérationnelle. Nous aidons les organisations à réduire la surface d’attaque et à maîtriser leurs risques :

  • Durcissement d’infrastructure : Linux et Windows alignés sur les référentiels de bonnes pratiques.
  • Audits IA privée & LLM : revue des architectures self-hostées (dont Ollama), API, cloisonnement des données, risques d’injection de prompts.
  • Conseil cybersécurité Linux : architectures et opérations pour des socles souvent au cœur des workloads IA.
  • API gateways & authentification : conception et déploiement de garde-fous devant vos endpoints modèles.

Conclusion

Les vulnérabilités Ollama rappellent qu’intégrer l’IA sans intégrer la sécurité expose mémoire, secrets et conformité. Résilience, durcissement, audits et gestion disciplinée des mises à jour sont les piliers d’une stratégie crédible.

Protégez la mémoire de vos processus et l’intégrité de vos modèles : contactez ITCS VIP pour une évaluation adaptée à votre infrastructure IA.

Contexte éditorial : article de référence sur The Hacker News.