Passer au contenu

Il accuse ChatGPT de divulguer des mots de passe, OpenAI dément

Un utilisateur de ChatGPT a tout à coup découvert des conversations inconnues dans son historique. Ces conversations, initiées par d’autres personnes, contiennent des informations très sensibles, comme des mots de passe. OpenAI dément l’existence d’une faille de sécurité.

Un internaute appelé Chase Whiteside a vécu une étonnante expérience avec ChatGPT. Comme le rapportent nos confrères d’Ars Technica, celui-ci a eu accès aux conversations d’autres utilisateurs avec l’IA générative. Les conversations sont soudainement apparues dans son historique en date du 29 janvier 2024.

« Je suis allé faire une requête […] et quand je suis revenu y accéder quelques instants plus tard, j’ai remarqué les conversations supplémentaires. Ils n’étaient pas là quand j’ai utilisé ChatGPT hier soir (je suis un utilisateur assez régulier). Aucune requête n’a été faite — elles viennent d’apparaître dans mon historique, et ne sont certainement pas de moi (et je ne pense pas qu’elles proviennent du même utilisateur non plus) », témoigne Whiteside auprès du média, et captures d’écran à l’appui.

À lire aussi : ChatGPT permet désormais d’invoquer n’importe quel GPT personnalisé

Des informations sensibles

Les conversations apparues mystérieusement proviennent apparemment d’un ou plusieurs employés d’une entreprise pharmaceutique. Dans un échange, un employé s’est servi de ChatGPT pour résoudre un problème survenu sur une plateforme interne consacrée aux ordonnances. Encore plus inquiétant, les conversations contiennent une foule d’informations sensibles, comme des mots de passe et des noms d’utilisateur. On y trouve aussi le nom du portail interne et le nom de la pharmacie. Comme on peut le voir, l’interlocuteur de ChatGPT n’arrivait pas à faire fonctionner la plateforme. Il s’est donc mis à pester contre celle-ci dans sa conversation avec l’IA.

Parmi les autres éléments trouvés par Ars Technica, on trouve « le nom d’une présentation sur laquelle quelqu’un travaillait, les détails d’une proposition de recherche non publiée et un script utilisant le langage de programmation PHP ». C’est évidemment très préoccupant que des informations de cet acabit se retrouvent entre les mains d’autres usagers.

De prime abord, l’affaire rappelle une fuite de données survenue en mars 2023, quelques mois après le début de la vague ChatGPT. Pendant quelques heures, des données sensibles, comme le nom, l’adresse et les quatre derniers chiffres du numéro de carte de crédit, d’une poignée d’usagers ont été partagées avec d’autres personnes. Ce dysfonctionnement, d’ampleur limitée, a obligé OpenAI à mettre ChatGPT sur pause.

OpenAI a une explication

Néanmoins, OpenAI assure qu’il ne s’agit pas du tout du même problème. Dans un message adressé à Ars Technica, la start-up affirme que le compte de Chase Whiteside a tout simplement été piraté par un tiers. Ce pirate s’est ensuite servi du compte pour communiquer avec ChatGPT, ce qui explique pourquoi des conversations inconnues se sont retrouvées dans son historique. L’attaquant a ensuite donné accès au chatbot à une communauté d’utilisateurs. De nombreux services en ligne s’appuient en effet sur des comptes compromis pour offrir un accès gratuit à ChatGPT-4.

« D’après ce que nous avons découvert, nous considérons qu’il s’agit d’une prise de contrôle du compte dans le sens où c’est cohérent avec l’activité que nous enregistrons […] L’enquête a démontré que des conversations ont été créées récemment à partir du Sri Lanka. Ces conversations se déroulent dans le même laps de temps que les connexions venues du Sri Lanka ». 

Malgré tout, on vous recommande chaudement de ne jamais communiquer d’informations personnelles sensibles à ChatGPT. Suite à un bug ou une vulnérabilité, ces données peuvent théoriquement se retrouver entre de mauvaises mains. De plus, le modèle linguistique GPT s’enrichit constamment grâce aux données fournies par ses interlocuteurs. Il est donc possible que vos données se retrouvent finalement dans le corpus de l’IA générative. C’est pourquoi des sociétés comme Apple ou Samsung empêchent leurs employés de se servir de l’IA de façon illimitée. Conscient des inquiétudes, OpenAI propose depuis quelques mois un mode incognito sur ChatGPT.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Ars Technica


Florian Bayard
Votre opinion
  1. J’ai eu la même chose la semaine dernière.
    J’ai de suite archivé la conversation.
    Open Ai m’a demandé de réinitialiser mon mot de passe. Mais je n’en ai pas chez eux, j’utilise la connexion via Google account.
    Et donc, on m’a demandé de réinitialiser mon compte Google.
    Mais Google n’a pas enregistré d’activité en dehors de mes connexions habituelles.
    Très étrange…

Les commentaires sont fermés.