ChatGPT confirme la violation de données, soulevant des problèmes de sécurité
Lorsque ChatGPT et des chatbots similaires sont devenus largement disponibles, la préoccupation dans le monde de la cybersécurité était de savoir comment la technologie de l’IA pourrait être utilisée pour lancer des cyberattaques. En fait, il n’a pas fallu très longtemps avant que les pirates découvrent comment contourner les contrôles de sécurité pour utiliser ChatGPT pour écrire du code malveillant.
Il semble maintenant que les tables ont tourné. Au lieu que les attaquants utilisent ChatGPT pour provoquer des cyberincidents, ils ont maintenant activé la technologie elle-même. OpenAI, qui a développé le chatbot, a confirmé une violation de données dans le système causée par une vulnérabilité dans la bibliothèque open source du code, selon Security Week. La faille a mis le service hors ligne jusqu’à ce qu’elle soit corrigée.
Un succès du jour au lendemain
La popularité de ChatGPT était évidente dès sa sortie fin 2022. Tout le monde, des écrivains aux développeurs de logiciels, voulait expérimenter le chatbot. Malgré ses réponses imparfaites (une partie de sa prose était maladroite ou clairement plagiée), ChatGPT est rapidement devenue l’application grand public à la croissance la plus rapide de l’histoire, atteignant plus de 100 millions d’utilisateurs mensuels en janvier. Environ 13 millions de personnes ont utilisé quotidiennement la technologie de l’IA dans le mois qui a suivi sa sortie. Comparez cela à une autre application extrêmement populaire – TikTok – qui a mis neuf mois pour atteindre des nombres d’utilisateurs similaires.
Un analyste en cybersécurité a comparé ChatGPT à un couteau suisse, affirmant que la grande variété d’applications utiles de la technologie est une des principales raisons de sa popularité précoce et rapide.
La violation de données
Chaque fois que vous avez une application ou une technologie populaire, ce n’est qu’une question de temps avant que les acteurs de la menace ne la ciblent. Dans le cas de ChatGPT, l’exploit est venu via une vulnérabilité dans la bibliothèque open source Redis. Cela permettait aux utilisateurs de voir l’historique des discussions des autres utilisateurs actifs.
Les bibliothèques open source sont utilisées « pour développer des interfaces dynamiques en stockant des routines et des ressources facilement accessibles et fréquemment utilisées, telles que des classes, des données de configuration, de la documentation, des données d’aide, des modèles de message, du code et des sous-routines pré-écrits, des spécifications de type et des valeurs ». selon une définition de Heavy.AI. OpenAI utilise Redis pour mettre en cache les informations utilisateur pour un rappel et un accès plus rapides. Étant donné que des milliers de contributeurs développent et accèdent à du code open source, il est facile pour les vulnérabilités de s’ouvrir et de passer inaperçues. Les acteurs de la menace le savent, c’est pourquoi les attaques contre les bibliothèques open source ont augmenté de 742 % depuis 2019.
Dans l’ensemble, l’exploit ChatGPT était mineur et OpenAI a corrigé le bogue quelques jours après sa découverte. Mais même un cyberincident mineur peut créer beaucoup de dégâts.
Cependant, ce n’était qu’un incident au niveau de la surface. Alors que les chercheurs d’OpenAI creusaient plus profondément, ils ont découvert que cette même vulnérabilité était probablement responsable de la visibilité des informations de paiement pendant quelques heures avant que ChatGPT ne soit mis hors ligne.
« Il était possible pour certains utilisateurs de voir le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (uniquement) d’un numéro de carte de crédit et la date d’expiration de la carte de crédit d’un autre utilisateur actif. Les numéros de carte de crédit complets n’ont été exposés à aucun moment », a déclaré OpenAI dans un communiqué sur l’incident.
Lire le rapport sur le coût d’une violation de données
IA, chatbots et cybersécurité
La fuite de données dans ChatGPT a été traitée rapidement avec apparemment peu de dégâts, les abonnés payants concernés représentant moins de 1 % de ses utilisateurs. Cependant, l’incident pourrait être un signe avant-coureur des risques qui pourraient affecter les chatbots et les utilisateurs à l’avenir.
Il existe déjà des problèmes de confidentialité concernant l’utilisation des chatbots. Mark McCreary, coprésident de la pratique de confidentialité et de sécurité des données du cabinet d’avocats Fox Rothschild LLP, a déclaré à CNN que ChatGPT et les chatbots sont comme la boîte noire dans un avion. La technologie de l’IA stocke de grandes quantités de données et utilise ensuite ces informations pour générer des réponses aux questions et aux invites. Et tout ce qui se trouve dans la mémoire du chatbot devient un jeu équitable pour les autres utilisateurs.
Par exemple, les chatbots peuvent enregistrer les notes d’un seul utilisateur sur n’importe quel sujet, puis résumer ces informations ou rechercher plus de détails. Mais si ces notes incluent des données sensibles – la propriété intellectuelle d’une organisation ou des informations sensibles sur les clients, par exemple – elles entrent dans la bibliothèque du chatbot. L’utilisateur n’a plus le contrôle de l’information.
Renforcement des restrictions sur l’utilisation de l’IA
En raison de problèmes de confidentialité, certaines entreprises et des pays entiers sévissent. JPMorgan Chase, par exemple, a restreint l’utilisation de ChatGPT par ses employés en raison des contrôles de l’entreprise sur les logiciels et applications tiers, mais il existe également des inquiétudes concernant la sécurité des informations financières si elles sont saisies dans le chatbot. Et l’Italie a cité la confidentialité des données de ses citoyens pour sa décision de bloquer temporairement l’application dans tout le pays. La préoccupation, ont déclaré les responsables, est due à la conformité au RGPD.
Les experts s’attendent également à ce que les pirates utilisent ChatGPT pour créer des e-mails de phishing sophistiqués et réalistes. Fini la mauvaise grammaire et la formulation de phrases étranges qui ont été le signe révélateur d’une escroquerie par hameçonnage. Désormais, les chatbots imiteront les locuteurs natifs avec des messages ciblés. ChatGPT est capable de traduction linguistique transparente, ce qui changera la donne pour les adversaires étrangers.
Une tactique tout aussi dangereuse consiste à utiliser l’IA pour créer des campagnes de désinformation et de complot. Les implications de cette utilisation pourraient aller au-delà des cyber-risques. Les chercheurs ont utilisé ChatGPT pour écrire un éditorial, et le résultat était similaire à tout ce que l’on trouve sur InfoWars ou d’autres sites Web bien connus colportant des théories du complot.
OpenAI répond à certaines menaces
Chaque évolution des chatbots créera de nouvelles cybermenaces, soit par les capacités linguistiques plus sophistiquées, soit par leur popularité. Cela fait de la technologie une cible de choix en tant que vecteur d’attaque. À cette fin, OpenAI prend des mesures pour empêcher de futures violations de données au sein de l’application. Il offre une prime de bogue pouvant atteindre 20 000 $ à quiconque découvre des vulnérabilités non signalées.
Cependant, The Hacker News a rapporté que « le programme ne couvre pas les problèmes de sécurité ou d’hallucination des modèles, dans lesquels le chatbot est invité à générer du code malveillant ou d’autres sorties défectueuses ». Il semble donc qu’OpenAI veuille renforcer la technologie contre les attaques extérieures, mais fait peu pour empêcher le chatbot d’être la source de cyberattaques.
ChatGPT et autres chatbots vont être des acteurs majeurs dans le monde de la cybersécurité. Seul le temps dira si la technologie sera la victime d’attaques ou la source.
Si vous rencontrez des problèmes de cybersécurité ou un incident, contactez X-Force pour vous aider : US hotline 1-888-241-9812 | Hotline mondiale (+001) 312-212-8034.