OpenAI a confirmé une violation de données affectant certains utilisateurs de ChatGPT, bien que l’incident ne provienne pas d’un piratage direct des propres systèmes d’OpenAI. Au lieu de cela, un accès non autorisé aux données des utilisateurs a été obtenu via Mixpanel, un fournisseur d’analyse tiers utilisé par OpenAI.
Ce qui s’est passé?
Le 9 novembre, des attaquants ont violé la sécurité de Mixpanel, exposant les informations personnelles des utilisateurs de ChatGPT qui accèdent à la plateforme via les interfaces API. Les données volées comprennent :
- Noms d’utilisateurs
- Adresses e-mail
- Données de localisation
- Détails du système d’exploitation
- Informations sur le navigateur
Il est important de noter qu’aucun journal de discussion, clé API, détails de paiement ou mot de passe n’a été compromis. OpenAI a pris des mesures pour atténuer la violation en supprimant Mixpanel de ses services de production et en lançant une enquête de sécurité.
Pourquoi c’est important
Même si OpenAI insiste sur le fait qu’aucun système OpenAI de base n’a été violé, cet incident souligne un risque majeur des services numériques modernes : la dépendance à l’égard de fournisseurs tiers. Même si une entreprise investit massivement dans sa propre sécurité, les vulnérabilités de sa chaîne d’approvisionnement peuvent exposer les données des utilisateurs.
Ce n’est pas la première fois que les utilisateurs de ChatGPT sont confrontés à des risques de sécurité. En mars 2023, un bug a révélé les informations privées de certains utilisateurs, et plus tard cette année-là, plus de 100 000 appareils ont été infectés par un logiciel malveillant volant les informations de connexion ChatGPT. Ce modèle suggère que la popularité de ChatGPT en fait une cible privilégiée pour les cyberattaques, que ce soit via OpenAI lui-même ou ses partenaires.
Ce que les utilisateurs doivent faire
OpenAI conseille aux utilisateurs de se méfier des tentatives de phishing ou des e-mails suspects, car les données volées pourraient être utilisées dans des attaques d’ingénierie sociale. Bien qu’il n’existe actuellement aucune preuve d’une mauvaise utilisation, la vigilance est recommandée.
Mesures de sécurité futures
OpenAI répond en mettant en œuvre des exigences de sécurité plus strictes pour tous les partenaires tiers et en procédant à des examens plus approfondis des pratiques de sécurité des fournisseurs. Cette violation rappelle que la cybersécurité est un processus continu, en particulier dans le paysage en évolution rapide des services d’IA.
L’incident met en évidence les risques inhérents au recours à des services externes, même pour les entreprises disposant de mesures de sécurité internes robustes. La réponse d’OpenAI – supprimer Mixpanel et renforcer la sécurité des fournisseurs – est une étape nécessaire, mais une vigilance soutenue sera essentielle pour protéger les données des utilisateurs à l’avenir.
