Le patron de l’entreprise qui a conçu ChatGPT a admis un incident de sécurité. Des titres de conversations n’ont pas été montrés aux bons utilisateurs. D’autres témoignages signalent aussi un problème avec des données personnelles.

« Nous avons rencontré un problème important dans ChatGPT ». Dans la soirée du 22 mars, Sam Altman prend la parole sur Twitter. Le fondateur de la société OpenAI, à l’origine du fameux chatbot, admet un incident de sécurité, qui a pu révéler certaines discussions à d’autres internautes. Plus exactement, ce sont les titres des conversations qui ont été exposés.

Des titres de discussions montrés aux mauvaises personnes

La faute à un bug dans une librairie open source, dont se sert OpenAI pour faire tourner ChatGPT. La vulnérabilité a, depuis, été corrigée. Néanmoins, dans l’intervalle, « un petit pourcentage d’utilisateurs a pu voir les titres de l’historique des conversations d’autres utilisateurs », selon Sam Altman. « Nous nous sentons très mal à l’aise à ce sujet. »

Les détails manquent sur la nature et l’ampleur de l’incident. Le pourcentage n’est pas quantifié, par exemple. Parle-t-on de centaines, de milliers ou bien de dizaines de milliers d’individus ? Compte tenu de la popularité exceptionnelle de ChatGPT depuis sa sortie, fin novembre 2022, le « petit pourcentage » pourrait en réalité cacher un grand nombre de victimes.

Dans un tweet ultérieur, Sam Altman a indiqué que l’historique des discussions avec ChatGPT restera indisponible pour la journée du 20 mars, date où une coupure de service a été observée. La publication d’une analyse qui détaillera les raisons de ce dysfonctionnement est promise. C’est, dans le jargon, un « post-mortem », pratique courante dans les sociétés technologiques.

Sam Altman, directeur d'OpenAI, et Satya Nadella, directeur de Microsoft. // Source : Microsoft
Sam Altman, directeur d’OpenAI, et Satya Nadella, directeur de Microsoft. // Source : Microsoft

Des données personnelles exposées

L’incident pourrait néanmoins être plus sérieux que ce que déclare Sam Altman. Le site PC Mag, dans son édition du 20 mars, signalait que des données personnelles ont aussi pu être compromises — on parle d’adresses de courrier électronique et de numéros de téléphone. Cette défaillance semble n’avoir affecté que les personnes qui s’inscrivaient alors à ChatGPT Plus.

ChatGPT Plus est une formule d’abonnement facturée 20 dollars par mois qui vous donne la priorité en cas de forte sollicitation du service. Elle vous fournit aussi plus rapidement des réponses. Bien sûr, OpenAI a lié l’accès à GPT-4 (son nouveau modèle de langage) à l’utilisation de ChatGPT Plus — on peut néanmoins s’en servir gratuitement avec Bing de Microsoft.

Un témoignage relate l’apparition de plusieurs mails à l’écran, autre au total, quand il se trouvait sur la page de paiement pour souscrire ChatGPT Plus. Il pouvait les voir en rafraichissant ladite page. Un autre a été confronté à une situation similaire, avec cette fois l’apparition d’un numéro n’étant pas le sien. L’intéressé a aussi vu un mail sans lien avec lui.

« Sur la page de paiement pour ChatGPT Plus, il était initialement indiqué qu’un SMS avait été envoyé à un numéro que je ne reconnaissais pas. Ensuite, lorsque j’ai choisi d’envoyer un e-mail à la place, une adresse e-mail dont je n’ai jamais entendu parler s’est affichée. Le champ du formulaire est également pré-rempli avec l’adresse électronique inconnue », relate Elliot.

Il n’est pas déterminé si ces problèmes concernant les données personnelles ont un lien avec l’incident touchant les titres des conversations entre des internautes et ChatGPT. Sam Altman suggère en tout cas que le contenu des discussions, lui, n’a pas été exposé — d’aucuns diront que c’est toujours, même si le titre est susceptible d’être déjà (trop) bavard.

Cette sortie de route dans le fonctionnement de ChatGPT fait office de piqûre de rappel : OpenAI peut utiliser les discussions de sa communauté pour entraîner et améliorer ses systèmes algorithmiques — elles peuvent être lues par les responsables chargées d’entraîner l’IA. C’est écrit dans une foire aux questions.

Il est d’ailleurs conseillé, dans cette même FAQ, de ne pas partager des informations personnelles ou sensibles dans les conversations. En somme, il est préférable de se dire que les propos que l’on adresse à ChatGPT équivalent à des commentaires l’on tiendrait publiquement. En clair, arrêtez de révéler tous vos secrets, les vôtres et ceux de votre organisation.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !