jeudi, mars 28

Données personnelles : quelles leçons retenir des premiers déboires de ChatGPT ?

Comme un avertissement. Lundi, ChatGPT est resté en maintenance pendant plusieurs heures, car l’entreprise réparait en urgence un dysfonctionnement étrange. Lorsque certains utilisateurs se connectaient à leurs comptes, ils voyaient dans leur historique (situé dans une colonne à gauche de l’outil) les titres de conversations qui n’étaient pas les leur, mais celles d’autres utilisateurs.

Lire aussiPourquoi vos données devront alimenter demain ChatGPT et autres IA

Heureusement, la fuite se limitait à cette information. Elle ne révélait ni le contenu des conversations avec le bot, ni l’identité de l’utilisateur. L’entreprise s’en sort ainsi à moindre mal. Quant aux utilisateurs, l’incident apparaît comme une piqûre de rappel : toute information intégrée aux discussions peut fuir en cas d’incident. C’est pourquoi OpenAI lui-même conseille aux utilisateurs de ne pas donner d’informations sensibles à ChatGPT.

Le meilleur du pire

Sur Twitter, le CEO d’OpenAI, Sam Altman, a précisé mercredi que ce dysfonctionnement était lié à un bug dans une bibliothèque open source utilisée par l’entreprise, c’est-à-dire un morceau de code mis à disposition gratuitement par des développeurs extérieurs. Cette précision a agacé une partie des experts du secteur. Et pour cause, la gestion des risques de l’open source fait partie des responsabilités classiques pour tous les développeurs d’applications. Autrement dit, OpenAI ne serait pas légitime à dédouaner sa responsabilité sur la communauté qui gère la bibliothèque concernée.

Lire aussiBaidu rate le lancement de son concurrent à ChatGPT et chute en Bourse

Pour autant, sa gestion de l’incident peut être saluée. Certes, l’entreprise n’a pas détecté le dysfonctionnement de ChatGPT avant qu’une partie de ses utilisateurs ne le signale. En revanche, il a agi très rapidement après en avoir eu connaissance, en écartant le risque, puis a communiqué sur le sujet. Deux bonnes pratiques qui ne sont pas systématiquement suivies par les victimes des fuites de données. Comme le rappelle l’entreprise de cybersécurité Kaspersky dans un communiqué envoyé à la presse, il est important de noter que l’incident a touché la version web de ChatGPT, c’est-à-dire l’outil grand public, et non son API, le canal payant utilisé par les entreprises.

Des adresses email exposées ?

Cet incident est le premier raté d’ampleur pour ChatGPT, qui a réussi à attirer des millions d’utilisateurs, à peine quelque mois après son lancement. Mais il ne serait pas le seul, d’après PCMag. D’après le sérieux site américain, lorsque certains utilisateurs essayaient de s’abonner à ChatGPT Plus, le service à 20 euros par mois d’OpenAI, la page de paiement préremplissait des adresses email d’autres personnes, vraisemblablement abonnées au service. Un témoin explique ainsi qu’il a pu découvrir quatre adresses différentes de suite en rafraîchissant la page, avant de s’arrêter. Le bug serait corrigé depuis mardi, et OpenAI a simplement indiqué qu’il enquêtait sur le sujet.

Cette fois aussi, l’entreprise star de l’intelligence artificielle semble avoir évité la catastrophe en réagissant assez vite. Par le passé, ce genre de bug à permis à des cybercriminels de récupérer des millions d’adresses email qui appartenaient à des utilisateurs de Facebook ou de Twitter pour les mettre à la vente sur des marchés noirs. Avec ses millions d’utilisateurs, ChatGPT est une cible de choix, et devra continuer de corriger ses incidents au plus vite.

François Manens

Lien source : Données personnelles : quelles leçons retenir des premiers déboires de ChatGPT ?