OpenAI fait la une des journaux tous les jours et cette fois-ci, c’est à cause d’une double dose de problèmes de sécurité. Le premier problème concerne l’application Mac pour ChatGPT, tandis que le second évoque des inquiétudes plus larges sur la façon dont l’entreprise gère sa cybersécurité.
Plus tôt cette semaine, l’ingénieur et développeur Swift Pedro José Pereira Vieito a testé l’application Mac ChatGPT et a découvert qu’elle stockait les conversations des utilisateurs localement en texte brut au lieu de les crypter. L’application n’est disponible que sur le site Web d’OpenAI et, comme elle n’est pas disponible sur l’App Store, elle n’a pas à suivre les exigences de sandboxing d’Apple. Le travail de Vieito a ensuite été couvert par et après que l’exploit ait attiré l’attention, OpenAI a publié une mise à jour qui a ajouté le cryptage aux discussions stockées localement.
Pour les non-développeurs, le sandboxing est une pratique de sécurité qui empêche les vulnérabilités et les défaillances potentielles de se propager d’une application à d’autres sur une machine. Et pour les non-experts en sécurité, le stockage de fichiers locaux en texte brut signifie que les données potentiellement sensibles peuvent être facilement consultées par d’autres applications ou programmes malveillants.
Le deuxième problème s’est produit en 2023 et ses conséquences se font encore sentir aujourd’hui. Au printemps dernier, un pirate informatique a pu obtenir des informations sur OpenAI après avoir accédé illégalement aux systèmes de messagerie interne de l’entreprise. Il a été rapporté que le directeur du programme technique d’OpenAI, Leopold Aschenbrenner, avait soulevé des problèmes de sécurité auprès du conseil d’administration de la société, arguant que le piratage impliquait des vulnérabilités internes dont des adversaires étrangers pourraient tirer parti.
Aschenbrenner affirme désormais avoir été licencié pour avoir divulgué des informations sur OpenAI et pour avoir fait part de ses inquiétudes concernant la sécurité de l’entreprise. Un représentant d’OpenAI a déclaré Les temps « Bien que nous partagions son engagement à construire une AGI sûre, nous ne sommes pas d’accord avec bon nombre des affirmations qu’il a faites depuis à propos de notre travail » et a ajouté que son départ n’était pas le résultat d’une dénonciation.
Les vulnérabilités des applications sont un problème que toutes les entreprises technologiques ont connu. Les violations commises par des pirates informatiques sont également malheureusement courantes, tout comme les relations conflictuelles entre les lanceurs d’alerte et leurs anciens employeurs. Cependant, entre l’ampleur de l’adoption de ChatGPT dans les services et le caractère chaotique des activités de l’entreprise, ces problèmes récents commencent à dresser un tableau plus inquiétant de la capacité d’OpenAI à gérer ses données.