Retour sur la fuite de données de ChatGPT et le bug Redis d’OpenAI
En mars 2023, ChatGPT a connu un incident de sécurité qui avait fait du bruit. Pendant quelques heures, certains utilisateurs ont pu apercevoir des informations qui ne leur appartenaient pas. De quoi rappeler que même les services d’IA les plus en vue ne sont pas à l’abri d’un couac.
L’origine du problème est presque banale. Un bug logé dans une bibliothèque open source utilisée par le service, en l’occurrence Redis, a provoqué la pagaille. Concrètement, des utilisateurs actifs au même moment pouvaient voir les titres de conversations d’autres personnes, et dans certains cas les premiers messages de nouveaux échanges. Pas vos conversations à proprement parler, mais assez pour mettre mal à l’aise.
Le 20 mars 2023, l’affaire a pris une tournure plus sérieuse. OpenAI a reconnu que 1,2 % des abonnés à ChatGPT Plus avaient été touchés sur une fenêtre d’environ neuf heures. Les données exposées allaient au-delà des simples titres de discussions : noms, adresses e-mail, adresses de facturation, ainsi que les quatre derniers chiffres et la date d’expiration des cartes utilisées pour l’abonnement. Bonne nouvelle au milieu du tableau, les numéros complets des cartes bancaires n’ont pas fuité.
OpenAI a réagi assez vite. L’entreprise a d’abord corrigé le bug à l’origine de la fuite, puis ajouté des contrôles supplémentaires pour vérifier que les données renvoyées par le cache correspondent bien à l’utilisateur qui les demande. Une analyse des journaux a été menée pour cerner précisément l’étendue du problème, et les personnes concernées ont été contactées.
Pour comprendre ce que l’IA fait vraiment de vos données :
ChatGPT pour les Nuls → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
L’épisode n’a pas eu de conséquences dramatiques, mais il a laissé des traces. Il a posé, très tôt dans l’histoire de ChatGPT, la question de la solidité des protections autour d’un service qui brasse une masse colossale d’informations personnelles. Quand des millions de gens confient leurs requêtes, parfois sensibles, à un chatbot, la moindre faille prend une autre dimension.
C’est aussi un rappel valable bien au-delà d’OpenAI. Les entreprises de la tech s’appuient en permanence sur des briques logicielles externes, et un simple bug dans l’une d’elles peut suffire à exposer des données. La sécurité n’est jamais acquise une fois pour toutes, elle demande une vigilance continue.
Pour OpenAI, l’incident de 2023 aura servi de leçon précoce. La société dit travailler en continu à renforcer ses protocoles pour éviter que ça se reproduise. Reste que dans un domaine qui avance aussi vite que l’IA, la confiance des utilisateurs se gagne sur la durée et se perd en quelques heures.
Crédit photo : DR