OpenAI informe ses utilisateurs et utilisatrices qu’une fuite de données a été identifiée le 9 novembre dernier.
Alors que ChatGPT s’approche tranquillement du milliard d’utilisateurs et d’utilisatrices hebdomadaires, le chatbot subit le premier piratage d’ampleur de sa courte histoire. Pourtant, OpenAI ne serait pas directement responsable, informe la startup américaine sur son site. Un « incident de sécurité » aurait eu lieu chez le prestataire Mixpanel, ouvrant ainsi la brèche vers de juteuses données personnelles.
Quel type de données ont été piratées ?
Mixpanel est un tiers auquel OpenAI délègue l’analyse du comportement des utilisateurs et utilisatrices de ChatGPT sur ses sites web et applications mobiles. En l’occurrence, Mixpanel est intégré sur la plateforme de développement platform.openai.com, et permet à l’entreprise de comprendre comment les développeurs et développeuses se servent de cet outil pour programmer avec ChatGPT.
Seulement voilà : le 9 novembre dernier, Mixpanel a « constaté qu’un pirate avait accédé sans autorisation à une partie de ses systèmes et exporté un ensemble de données contenant des informations limitées permettant d’identifier les clients ». Des données plutôt sensibles, que voici :
- le nom associé au compte utilisant l’API (interface de programmation) ;
- l’adresse email associée au compte utilisant l’API ;
- la carte d’identité associée au compte utilisant l’API ;
- la localisation approximative de l’utilisateur, basée sur le navigateur utilisé ;
- le système d’exploitation et le navigateur utilisés ;
- les sites web visités juste avant d’arriver sur la plateforme.
Un joli pactole qui, comme à chaque piratage, va très probablement être mixé avec le larcin d’autres piratages afin de tenter d’établir des profils d’internautes pour mettre au point des arnaques et autres tentatives d’usurpation d’identité.
J’utilise ChatGPT, suis-je concerné ?
Comme expliqué ci-dessus, seules les personnes inscrites sur platform.openai.com sont à risque. OpenAI indique d’ailleurs que ses infrastructures n’ont pas été touchées et renvoie une nouvelle fois la patate chaude à son (futur ex ?) partenaire Mixpanel.
En clair, si vous n’êtes pas développeur ou développeuse, et que vous n’êtes pas inscrit·e sur l’interface de programmation de ChatGPT, vous êtes a priori épargné·e. Dans tous les cas, OpenAI rappelle quelques évidences en matière de cybersécurité : utiliser un mot de passe unique, rester méfiant·es face aux emails demandant trop d’informations personnelles, et activer l’authentification à double facteur pour renforcer la sécurité de son compte.
Au vu de la popularité grandissante de ChatGPT (désormais le 4e site web le plus visité au monde), et de la grande sensibilité des données personnelles que ses serveurs hébergent, il ne fait aucun doute que ce piratage n’est que le tout premier d’une liste qui ne fera que s’allonger au fil des ans.
