OpenAI est au cœur de l’actualité en raison d’une faille de sécurité dans son API ChatGPT. Cette vulnérabilité permettrait à des acteurs malveillants de déclencher des attaques par déni de service distribué (DDoS) sur des sites web ciblés. Les experts en sécurité appellent à une action rapide pour éviter des dommages potentiels.
Une faille exposée par des chercheurs en sécurité.
La faille a été découverte par Benjamin Flesch, un chercheur en sécurité basé en Allemagne, qui a publié ses résultats sur GitHub. Le problème se situe dans le traitement des requêtes HTTP POST au niveau de l’endpoint /backend-api/attributions de l’API ChatGPT. Cet endpoint permet de soumettre une liste de liens hypertextes via le paramètre urls. L’absence de limite sur le nombre de liens dans une requête ouvre la porte à des abus potentiels.
Un vecteur d’attaque puissant.
En intégrant des milliers de liens dans une seule requête, un attaquant pourrait utiliser les serveurs d’OpenAI pour envoyer un volume massif de requêtes HTTP à un site web victime. Cette attaque pourrait surcharger l’infrastructure du site ciblé, entraînant son ralentissement ou même sa mise hors ligne.
Critiques et recommandations pour OpenAI.
Les experts en sécurité, dont Elad Schulman, PDG de Lasso Security Inc., soulignent que cette vulnérabilité découle de pratiques de programmation insuffisantes et d’un manque d’attention aux considérations de sécurité. Ils recommandent à OpenAI d’imposer des limites strictes sur le nombre de liens pouvant être soumis dans une requête et d’ajouter des mesures de filtrage pour les requêtes en double afin de prévenir les abus.
Un impact potentiel sur les entreprises.
M. Schulman a également exprimé des préoccupations quant aux risques pour les entreprises, notamment la dégradation de leur réputation, l’exploitation de données et l’épuisement des ressources. Il a avert i que les cybercriminels pourraient exploiter les chatbots basés sur l’IA générative pour drainer les ressources financières d’une victime, surtout en l’absence de garde-fous nécessaires.
Appel à l’action pour renforcer la sécurité.
Face à ces menaces, il est impératif pour les entreprises utilisant des chatbots basés sur des modèles de langage de grande ampleur d’adopter des mesures de cybersécurité robustes. Avec l’augmentation rapide de l’utilisation des chatbots, la mise en place de protections adéquates est essentielle pour atténuer ces risques et d’autres menaces émergentes.
La découverte de cette vulnérabilité souligne l’importance cruciale d’une sécurité renforcée dans le développement et le déploiement des technologies d’IA. Alors que l’adoption de l’IA continue de croître, il est essentiel que les entreprises et les développeurs prennent des mesures proactives pour sécuriser leurs plateformes contre les abus potentiels.
