Une faille de sécurité très critique a été mis en évidence sur la fonction de « recherche approfondie » de ChatGPT. Alors que OpenAI a déjà corrigé le souci et envoyé rapidement des correctifs, on ignore si des pirates l’on exploité il y a quelques temps.
Résumé de l’article en 4 points :
- Une faille critique a été découvert sur l’agent conversationnelle ChatGPT
- La vulnérabilité remonte à deux mois et l’équipe d’OpenAI a déjà apporté des correctifs de sécurité
- Elle consistait à voler les données Gmail ou Google Drive des utilisateurs
- La faille était assez difficile à détecter et il fallait des spécifiques aux pirates pour l’exploiter.
Vos données peuvent être exposées en utilisant les outils d’IA
De nombreuses personnes font aveuglément confiance aux outils d’intelligence artificielle en supposant qu’ils sont assez sécurisés. Nous utilisons désormais pour presque tout : résoudre un problème mathématique, besoins d’informations sur une question donnée, coder un programme, rédiger un émail ou un texte, résumer un livre, retranscrire un audio…
Les modèle d’IA comme ChatGPT font désormais partie de la vie de plusieurs personnes. Cependant, il y a quelques précautions à prendre avant d’ouvrir un agent IA pour lui confier un certain nombre d’informations sensibles. La première étant de disposer d’un anti-virus premium capable de détecter les potentielles menaces à vos données.
Mais cette fois-ci, la faille était difficilement détectable. On ignore encore si des pirates ont eu le temps de détecter la faille et de l’exploiter avant la correction d’OpenAI. Cela montre à quel point l’utilisation de plus en plus massive des agents d’IA peut rendre vulnérable les données des utilisateurs.
Vulnérabilité découverte par l’équipe de sécurité Radware
La faille critique pouvant rendre vos données Gmail a été détectée par l’équipe de sécurité Radware. L’information vient d’être rendue publique, amis elle remonte à deux mois et les correctifs ont été rapidement apportés par les ingénieurs d’OpenAI en août dernier.
La faille provenait précisément de l’outil « recherche approfondie » de ChatGPT. Cette fonction est très cruciale pour des réponses plus précises et poussées. L’outil va analyser de grosses quantités de données en se connectant à des applications comme Gmail ou Google Drive. Vous comprenez donc que les requêtes demandées par les utilisateurs concernent leur boite email Gmail ou leurs données dans Google Drive.
D’après les informations publiées par Radware, les hackers auraient pu créer une boite email unique en lui communicant des informations spécifiques. Alors, si un utilisateur envoyait une requête approfondie à ChatGPT pour qu’il trouve une information dans sa boite Gmail, ChatGPT pourrait se comporter autrement. Au lieu de donner simplement la réponse, il aurait pu scanner et envoyées les données sensibles de l’utilisateur vers un site Web contrôlé par les pirates.
Cette faille rappelle à quel point les pirates sont capables d’utiliser les outils IA pour voler les données sensibles des utilisateurs. Dans les faits, cela suppose que des modèles de langages conversationnels comme ChatGPT ou Gemini sont loin d’être à l’abri des vulnérabilités qui peuvent être exploitées par des hackers.
Le développement de l’IA est un enjeu majeur pour l’humanité. Cependant, s’assurer que ces IA ne constituent pas une vulnérabilité pour les utilisateurs et leurs données sera un défi majeur pour les entreprises opérant dans ce milieu sensible.
