OpenAI a révélé que la violation de données ChatGPT était causée par une faiblesse dans le code Open source framework dans son chatbot, qui a été corrigé rapidement et apparemment avec peu de conséquences, mais l’incident pourrait être une préfiguration de futures menaces pour chatbots et les utilisateurs, et OpenAI prend des précautions pour éviter de futures violations de données dans l’application.
Quand ChatGPT et d’autres chatbots sont d’abord devenus publiquement disponible, le la cyber-sécurité La communauté était préoccupée par la manière dont la technologie de l’IA pourrait être exploitée pour mener des cyberattaques. Il n’a pas fallu longtemps aux acteurs de la menace pour découvrir comment contourner les contrôles de sécurité et utiliser ChatGPT pour écrire du code malveillant.
Les tables semblent avoir tourné. Au lieu d’utiliser ChatGPT pour provoquer des cyber-catastrophes, les attaquants ont maintenant activé la technologie elle-même. Selon Semaine de la sécurité, OpenAI, la société qui a créé le chatbot, a révélé une violation de données ChatGPT dans le système causée par une faiblesse dans le cadre open source du code. La violation de données ChatGPT a mis le service hors ligne jusqu’à ce qu’il puisse être réparé.
La popularité de ChatGPT était évidente dès sa sortie à la fin 2022. Tout le monde voulait jouer avec le chatbot, des auteurs aux professionnels du logiciel. Malgré ses défauts (une partie de sa prose était maladroite ou plagiée), ChatGPT est rapidement devenu l’application grand public à la croissance la plus rapide de l’histoire, avec plus de 100 millions par mois utilisateurs par Janvier. Moins d’un mois après sa sortie, environ 13 millions de personnes utilisaient quotidiennement la technologie de l’IA. En comparaison, TIC Tacune autre application extrêmement populaire, a mis neuf mois pour atteindre un nombre d’utilisateurs comparable.
Violation de données ChatGPT
Ce n’est qu’une question de temps avant qu’une application ou une technologie populaire ne soit ciblée par des acteurs malveillants. Dans le cas de la violation de données ChatGPT, l’exploit a été rendu possible grâce à une faille dans l’open-source Redis bibliothèque. Les utilisateurs peuvent désormais consulter l’historique des conversations des autres utilisateurs actuels.
Selon Lourd.IAles bibliothèques open source sont utilisées pour “développer des interfaces dynamiques en stockant des routines et des ressources facilement accessibles et fréquemment utilisées, telles que des classes, des données de configuration, de la documentation, des données d’aide, des modèles de message, du code et des sous-routines pré-écrits, des spécifications de type et des valeurs .”
Redis est utilisé par OpenAI pour stocker les informations utilisateur pour un rappel et un accès plus rapides. Étant donné que des milliers de contributeurs créent et utilisent du code open source, des vulnérabilités peuvent facilement émerger et passer inaperçues. Parce que les pirates en sont conscients, les attaques contre les bibliothèques open source ont augmenté de 742% depuis 2019.
Le ChatGPT la vulnérabilité était petite dans le schéma plus large des choses, et OpenAI a corrigé la faille quelques jours après sa découverte. Cependant, même des cyberincidents mineurs peuvent causer des dommages importants.
Cependant, ce n’était qu’un incident mineur. Les chercheurs sur les violations de données de ChatGPT ont creusé plus profondément, ils ont découvert que la même vulnérabilité était probablement à l’origine de la visibilité des informations de paiement pendant quelques heures avant que ChatGPT ne soit mis hors ligne.
“Certains utilisateurs peuvent voir le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres d’un numéro de carte de crédit (uniquement) et la date d’expiration de la carte de crédit d’un autre utilisateur actif.” “Aucun numéro de carte de crédit complet n’a jamais été exposé”, a déclaré OpenAI dans un communiqué concernant l’incident.
Chatbots, IA, cybersécurité et violation de données ChatGPT
La violation de données ChatGPT a été corrigée rapidement et apparemment avec des conséquences minimes, les clients payants concernés représentant moins de 1% de ses utilisateurs. Cependant, l’incident pourrait être un présage de futures menaces pour les chatbots et les utilisateurs.
Il existe déjà des problèmes de confidentialité concernant l’utilisation des chatbots. Mark McCreary, le coprésident de Renard Rothschild LLP pratique de confidentialité et de sécurité des données, dit CNN que ChatGPT et les chatbots sont analogues à la boîte noire dans un avion de ligne. La technologie de l’IA accumule d’énormes quantités de données et utilise ensuite ces données pour produire des réponses aux requêtes et aux invites. De plus, tout ce qui se trouve dans la mémoire du chatbot devient disponible pour les autres utilisateurs.
Les chatbots, par exemple, peuvent capturer les notes d’un seul utilisateur sur n’importe quel sujet, puis résumer ou rechercher des détails supplémentaires. Toutefois, si ces notes contiennent des données sensibles, telles que la propriété intellectuelle d’une organisation ou des informations client sensibles, elles sont ajoutées au chatbot bibliothèque. L’utilisateur a perdu le contrôle de l’information.
Les restrictions sur l’IA sont renforcées
Certaines entreprises et des pays entiers sévissent contre les problèmes de confidentialité. JP Morgan Chasse, par exemple, a limité l’utilisation de ChatGPT par ses employés en raison des restrictions de l’entreprise sur les logiciels et applications tiers, mais la sécurité des informations financières saisies dans le chatbot suscite également des inquiétudes. Et l’Italie a cité la protection des données des citoyens comme raison du blocage temporaire du programme dans tout le pays. Les responsables ont affirmé que l’inquiétude découlait de RGPD conformité.
Les auteurs de menaces devraient également utiliser ChatGPT pour envoyer des messages sophistiqués et hameçonnage réaliste e-mailsselon experts. Un langage médiocre et une construction de phrase étrange ne sont plus des indicateurs d’un stratagème de phishing. Les chatbots émuleront désormais des locuteurs naturels en envoyant des messages personnalisés. ChatGPT est capable d’une traduction linguistique sans faille, ce qui changera la donne pour les ennemis d’autres pays.
L’utilisation de l’IA pour produire des campagnes de désinformation et de complot est une technique tout aussi néfaste. Les conséquences de cette pratique peuvent s’étendre au-delà des cyber-dangers. Les chercheurs ont utilisé ChatGPT pour créer un éditorial qui ressemble à tout ce que l’on voit sur Guerres d’informations ou d’autres sites Web bien connus qui promeuvent les théories du complot.
Les menaces sont traitées par OpenAI
Le développement de violations de données par chatbot apportera de nouveaux cyber-risques, soit par des capacités linguistiques plus complexes, soit par leur popularité. En conséquence, la technologie est une cible de choix pour un vecteur d’attaque. Dans ce but, OpenAI prend des précautions pour éviter de futures violations de données dans l’application. Il paiera une prime de bogue pouvant aller jusqu’à 20 000 $ à toute personne qui découvre des vulnérabilités jusque-là inconnues.
Cependant, selon Les nouvelles des pirates, “le programme ne couvre pas les problèmes de sécurité du modèle ou d’hallucination, dans lesquels le chatbot est invité à générer un code malveillant ou d’autres sorties défectueuses.” Il apparaît donc qu’OpenAI souhaite durcir la technologie contre les attaques externes tout en faisant peu pour empêcher le chatbot de devenir une source de cyberattaques.
ChatGPT et autres chatbots seront des acteurs clés dans le domaine de la cybersécurité. Seul le temps dira si la technologie sera la cible d’agressions ou en sera le générateur.
Les fuites de données et les cyberattaques font partie des problèmes les plus graves d’aujourd’hui. Vous n’êtes pas d’accord ? Jetez un œil à ceux-ci :
- Violation de données T-Mobile : 37 millions de comptes impactés
- Violation de données sur Twitter : 400 millions d’utilisateurs touchés
Source: Violation de données ChatGPT : OpenAI confirme la vulnérabilité d’une bibliothèque open source
