OpenAI publie un correctif de fuite de données ChatGPT, mais le problème n’est pas complètement résolu
ChatGPT peut divulguer vos conversations et autres informations via une faille de sécurité.
Nous l’avons déjà dit, et nous le répétons : ne saisissez rien dans ChatGPT que vous ne souhaitez pas que des personnes non autorisées lisent.
Depuis qu’OpenAI a publié ChatGPT l’année dernière, il y a eu de nombreuses occasions où des failles du chatbot IA auraient pu être utilisées comme armes ou manipulées par de mauvais acteurs pour accéder à des données sensibles ou privées. Et ce dernier exemple montre que même après la publication d’un correctif de sécurité, des problèmes peuvent persister.
Selon un rapport de Bleeping Computer, OpenAI a récemment déployé un correctif pour un problème où ChatGPT pourrait divulguer les données des utilisateurs à des tiers non autorisés. Ces données peuvent inclure les conversations des utilisateurs avec ChatGPT et les métadonnées correspondantes telles que l’identifiant d’un utilisateur et les informations de session.
Cependant, selon le chercheur en sécurité Johann Rehberger, qui a initialement découvert la vulnérabilité et expliqué comment elle fonctionnait, il existe encore des failles de sécurité béantes dans le correctif d’OpenAI. Essentiellement, la faille de sécurité existe toujours.
La fuite de données ChatGPT
Rehberger a pu profiter de la fonctionnalité GPT personnalisée récemment publiée et très appréciée d’OpenAI pour créer son propre GPT, qui a exfiltré les données de ChatGPT. Il s’agit d’une découverte importante, car les GPT personnalisés sont commercialisés en tant qu’applications d’IA, de la même manière que l’iPhone a révolutionné les applications mobiles avec l’App Store. Si Rehberger pouvait créer ce GPT personnalisé, il semble que de mauvais acteurs pourraient bientôt découvrir la faille et créer des GPT personnalisés pour voler les données de leurs cibles.
Rehberger dit avoir contacté OpenAI pour la première fois au sujet de la « technique d’exfiltration de données » en avril. Il a de nouveau contacté OpenAI en novembre pour expliquer exactement comment il a pu créer un GPT personnalisé et mener à bien le processus.
Mercredi, Rehberger a publié une mise à jour sur son site Web. OpenAI avait corrigé la vulnérabilité de fuite.
« La solution n’est pas parfaite, mais c’est un pas dans la bonne direction », a expliqué Rehberger.
La raison pour laquelle le correctif n’est pas parfait est que ChatGPT continue de divulguer des données via la vulnérabilité découverte par Rehberger. ChatGPT peut toujours être amené à envoyer des données.
« Certains tests rapides montrent que des bribes d’informations peuvent voler (sic) une fuite », a écrit Rehberger, expliquant en outre que « de cette façon, seules de petites quantités sont divulguées, c’est lent et plus visible pour l’utilisateur ». Indépendamment des problèmes restants, Rehberger a déclaré qu’il s’agissait certainement d’un « pas dans la bonne direction ».
Mais la faille de sécurité persiste entièrement dans les applications ChatGPT pour iOS et Android, qui n’ont pas encore été mises à jour avec un correctif.
Les utilisateurs de ChatGPT doivent rester vigilants lorsqu’ils utilisent des GPT personnalisés et devraient probablement transmettre ces applications d’IA provenant de tiers inconnus.
