URGENCE : Failles de sécurité découvertes dans ChatGPT, données sensibles potentiellement exposées
San Francisco, californie – Une vulnérabilité critique a été découverte dans l’agent ChatGPT d’OpenAI, permettant potentiellement l’exfiltration de données sensibles via des connecteurs intégrés à des services courants comme Microsoft Outlook, GitHub, Google Drive et Dropbox. La découverte, faite par les chercheurs de Radware, soulève des inquiétudes majeures concernant la sécurité des informations d’entreprises utilisant l’outil d’intelligence artificielle.
L’exploitation de cette faille,basée sur des techniques d’injection,permettrait à des acteurs malveillants d’accéder à des informations confidentielles telles que des contrats,des notes de réunion et des dossiers clients. Les chercheurs ont démontré qu’il était relativement simple d’obtenir un abonnement ChatGPT et de l’utiliser sur un appareil d’entreprise ayant accès à des données sensibles.
“Le problème est amplifié par le fait que de nombreuses entreprises n’offrent pas d’alternatives de partage de fichiers sécurisées, poussant leurs employés à utiliser des services cloud gratuits et non contrôlés,” explique Geenens, un expert en sécurité. “Cela rend difficile le suivi des données partagées en dehors de l’organisation.”
OpenAI a reconnu la vulnérabilité et a déclaré à Bloomberg qu’elle accueille favorablement les recherches qui l’aident à améliorer la sécurité de ses systèmes.radware n’a pour l’instant détecté aucune preuve d’exploitation de cette faille en dehors de ses propres tests.
Implications à long terme et recommandations pour les entreprises :
Cette découverte souligne un risque croissant lié à l’intégration de l’IA dans les environnements de travail. L’utilisation d’assistants d’IA, bien que prometteuse en termes de productivité, nécessite une approche rigoureuse en matière de sécurité et de gouvernance des données.
Pour se protéger, les entreprises doivent impérativement :
* Contrôler l’accès aux données : Définir clairement les données auxquelles l’IA est autorisée à accéder.
* Surveiller les connecteurs : Identifier et évaluer les risques associés aux connecteurs vers des services tiers.
* Enregistrer et inspecter les interactions : Conserver un registre complet des invites et des réponses pour détecter d’éventuelles fuites de données.
* Mettre en place des politiques de partage de fichiers sécurisées : Offrir des alternatives de partage de fichiers d’entreprise pour éviter l’utilisation de services non contrôlés.
* Former les employés : Sensibiliser les employés aux risques liés à l’utilisation de l’IA et aux bonnes pratiques de sécurité.
L’incident rappelle que l’adoption de l’IA doit s’accompagner d’une vigilance accrue en matière de sécurité des données, afin d’éviter des conséquences potentiellement désastreuses pour les entreprises et leurs clients. La sécurité de l’IA est un domaine en constante évolution, et les organisations doivent rester proactives pour faire face aux nouvelles menaces.
