Une vulnérabilité dans le robot d'indexation de ChatGPT pourrait transformer l'IA en arme de destruction massive du web.

Cette faille de sécurité, découverte récemment, permet à des attaquants de lancer des attaques par déni de service distribué (DDoS) sur des sites tiers, et ce, sans même avoir besoin de s'authentifier. © Shutterstock
Cette faille de sécurité, découverte récemment, permet à des attaquants de lancer des attaques par déni de service distribué (DDoS) sur des sites tiers, et ce, sans même avoir besoin de s'authentifier. © Shutterstock

L'intelligence artificielle d'OpenAI fait à nouveau parler d'elle, mais pas pour les bonnes raisons. Alors que ChatGPT ne cesse d'évoluer, intégrant récemment des fonctionnalités d'assistant personnel, une faille de sécurité majeure vient d'être mise au jour. Cette vulnérabilité pourrait bien ternir l'image du chatbot star et soulève de sérieuses questions sur la sécurité des outils d'IA générative.

ChatGPT
ChatGPT
  • Chat dans différentes langues, dont le français
  • Générer, traduire et obtenir un résumé de texte
  • Générer, optimiser et corriger du code
8 / 10
Télécharger

Un robot d'indexation transformé en arme de DDoS

Le problème réside dans le robot d'indexation de ChatGPT, nommé ChatGPT-User. Ce dernier est chargé de parcourir le web pour collecter des informations lorsque le chatbot cite des sources. Or, il s'avère que ce robot peut être manipulé pour inonder un site web de requêtes, provoquant ainsi une attaque DDoS.

Comment ça marche ? Un attaquant peut envoyer une simple requête HTTP à l'API de ChatGPT, contenant une liste d'URL pointant vers le même site cible. Le robot d'indexation va alors tenter d'accéder à toutes ces URL simultanément, générant un trafic massif vers le site visé. Le plus inquiétant ? Cette attaque peut être lancée sans aucune authentification. Un seul appel à l'API peut se transformer en des milliers de requêtes vers la cible, amplifiant considérablement la puissance de l'attaque.

OpenAI pris au dépourvu

Cette découverte soulève des questions sur les pratiques de sécurité d'OpenAI. Comment une telle faille a-t-elle pu passer inaperçue ? D'autant plus que l'entreprise n'est pas à son coup d'essai en matière de problèmes de sécurité.

En effet, ChatGPT a déjà connu plusieurs épisodes de pannes et d'instabilités. En novembre 2023, le service avait été victime d'une attaque DDoS, ironiquement. Face à cette nouvelle menace, OpenAI reste étrangement silencieux. Aucune réponse officielle n'a été apportée aux chercheurs ayant signalé la vulnérabilité. Cette absence de réaction ne fait qu'amplifier les inquiétudes sur la capacité de l'entreprise à gérer les risques de sécurité liés à son IA.

Cette faille de sécurité soulève des questions plus larges sur la sécurité des modèles d'IA générative. Alors qu'OpenAI vient de dévoiler o3, son nouveau modèle aux capacités de raisonnement améliorées, on peut s'interroger sur les risques potentiels liés à ces avancées technologiques.

Source : The Register

ChatGPT
ChatGPT
  • Chat dans différentes langues, dont le français
  • Générer, traduire et obtenir un résumé de texte
  • Générer, optimiser et corriger du code
8 / 10
Télécharger