L'intelligence artificielle conversationnelle d'OpenAI, devenue un réflexe quotidien pour des centaines de millions de personnes, présente des faiblesses de sécurité importantes. La société spécialisée Tenable vient de lever le voile sur un ensemble de sept vulnérabilités critiques. Regroupées sous le nom de HackedGPT, ces brèches affectent les modèles récents de ChatGPT et transforment l'assistant en un potentiel complice de cybercriminels, capable d'exfiltrer des données sensibles à l'insu de tous.
Face à cette divulgation responsable, OpenAI a déjà déployé des correctifs. Cependant, la menace persiste car toutes les failles ne sont pas encore colmatées, laissant des portes ouvertes aux attaquants.
Quelles sont les failles les plus simples à exploiter ?
Le danger vient parfois des méthodes les plus déconcertantes de simplicité. La première faille, qualifiée d'injection de requête indirecte, repose sur un simple commentaire piégé sur un blog. Lorsqu'un utilisateur demande à ChatGPT de résumer un article, l'IA analyse aussi les commentaires et exécute sans le savoir des instructions malveillantes qui y sont dissimulées. Aucun antivirus ne peut détecter une telle manipulation.
Une autre technique redoutable est l'attaque "1-click". Elle détourne la fonction de partage de liens avec question pré-remplie, comme "chatgpt.com/?q=...". Un pirate peut facilement créer une URL contenant des commandes cachées et la diffuser par e-mail ou sur les réseaux sociaux. Un simple clic de la victime suffit à lancer des actions malveillantes dans sa propre session, sans qu'elle ne s'en aperçoive.
Comment les pirates peuvent-ils attaquer sans aucune action de l'utilisateur ?
L'une des découvertes les plus inquiétantes est l'existence d'une attaque "zéro-clic". Dans ce scénario, l'utilisateur n'a absolument rien à faire pour être compromis. Il lui suffit de poser une question anodine qui pousse ChatGPT à effectuer une recherche sur le web via son module interne, SearchGPT.
Si le chatbot consulte une page web contenant du code malveillant, l'attaque se déclenche automatiquement. Les pirates peuvent cibler des sujets d'actualité pour piéger un maximum de monde. Une autre méthode consiste à contourner les filtres de sécurité d'OpenAI. Le système "url_safe" est censé bloquer les liens dangereux, mais Tenable a prouvé que les URL de redirection de Bing passent systématiquement. Cela permet de rediriger l'utilisateur vers des sites contrôlés par des attaquants.
Quels sont les risques les plus persistants pour les données personnelles ?
La menace la plus sournoise et durable concerne la mémoire à long terme de l'IA. Les chercheurs ont démontré qu'il est possible d'injecter des instructions malveillantes directement dans cette mémoire persistante, conçue pour personnaliser l'expérience utilisateur. Une fois corrompue, elle transforme chaque nouvelle conversation en une potentielle occasion de vol de données.
Ces commandes restent actives même après la fermeture et la réouverture du chatbot, réactivant la menace à chaque session jusqu'à une suppression manuelle. Ces failles combinées forment une chaîne d'attaque complète, comme le souligne Moshe Bernstein, ingénieur chez Tenable : « Pris séparément, ces défauts semblent mineurs, mais combinés, ils forment une chaîne d’attaque complète, de l’injection à l’exfiltration de données en passant par la persistance ». Il est donc crucial d'éviter d'enregistrer des informations sensibles et de se méfier des contenus inconnus.
