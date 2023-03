Le bug de ChatGPT d'il y a quelques jours était un peu plus grave qu'annoncé. Des données personnelles d'abonnés ChatGPT Plus ont pu être exposées.

OpenAI avait été contraint de débrancher son si populaire robot conversationnel (chatbot) ChatGPT il y a quelques jours après qu’un utilisateur était parvenu à exploiter une faille dans le système pour récupérer l’historique des titres des conversations d’autres utilisateurs. L’entreprise a aujourd’hui communiqué ses premières conclusions autour de cet incident, finalement plus grave qu’annoncé initialement.

Dans l’incident de ce début de semaine, des utilisateurs avaient publié des captures d’écran sur Reddit de leur barre latérale ChatGPT montrant des titres de conversations précédentes d’autres utilisateurs. Seulement des titres. OpenAI, en réponse à ce problème d’envergure, avait pris la décision de débrancher son chatbot, une interruption de service qui a duré presque 10 heures, le temps d’enquêter sur le sujet. Les résultats de cette analyse ont révélé un problème de sécurité assez important : le bug de l’historique des conversations pourrait avoir aussi divulgué des données personnelles d’environ 1,2 % des abonnés ChatGPT Plus – l’abonnement à 20 $ par mois -.

“Dans les heures qui ont précédé le débranchement de ChatGPT, il était possible, pour certains utilisateurs, de voir les nom, prénom, adresse email, adresse de facturation, les quatre derniers chiffres ainsi que la date d’expiration de la carte de crédit d’autres utilisateurs actifs. Les numéros complets des cartes de crédit n’ont jamais été exposés”, explique l’équipe OpenAI. Le problème a été corrigé, la faille résidait dans une librairie open-source tierce du client Redis, redis-py.

L’entreprise a cependant tenu à minimiser la portée de cette divulgation, en explicitant les critères qui devaient être réunis pour que ces données personnelles soient effectivement exposées : “Ouvrir un email de confirmation d’inscription envoyé le lundi 20 mars, entre 1 h et 10 h (heure du Pacifique). À cause du bug, certains de ces emails générés durant cette fenêtre de temps ont été envoyés aux mauvais utilisateurs. Ces emails contenaient les quatre derniers chiffres du numéro de carte de crédit, mais pas le numéro complet. Il est possible qu’un petit nombre d’emails de confirmation puissent avoir été envoyés avant le 20 mars, nous n’avons cependant confirmation d’aucun cas de ce genre.” Autre scenario possible : “Dans ChatGPT, cliquer sur ‘Mon compte’, puis ‘Gérer mon abonnement’ entre 1 h et 10 h (heure du Pacifique) ce lundi 20 mars. Durant cette fenêtre de temps, le nom, le prénom, l’adresse de facturation, les quatre derniers chiffres et la date d’expiration de la carte de crédit d’un autre utilisateur actif ChatGPT Plus pouvaient avoir été visibles. Il est possible que cela ait pu survenir avant le 20 mars, nous n’avons cependant confirmation d’aucun cas de ce genre.”

L’entreprise a pris des mesures supplémentaires pour éviter que ce bug ne se reproduise, notamment en ajoutant des vérifications redondantes lors d’appels à ce genre de librairies”, “en examinant nos logs de manière systématique pour nous assurer que tous les messages sont seulement accessibles aux bons utilisateurs” et “en améliorant les logs pour identifier lorsqu’un tel incident survient et pouvoir confirmer précisément quand il a disparu.” La société explique aussi avoir contacté les utilisateurs impactés sur le sujet.