Depuis le mois de juin 2024, l’entreprise américaine OpenAI permet à toute sa clientèle sur Mac de récupérer une application macOS pour intégrer ChatGPT aux ordinateurs d’Apple. Cela, que les utilisateurs aient un accès gratuit ou payant à l’agent conversationnel. On peut même appeler le chatbot grâce à un raccourci clavier.
Mais il y avait, jusqu’à récemment, un souci : les contenus traités par l’application — c’est-à-dire les conversations avec le chatbot — n’étaient pas chiffrés pour empêcher leur accès par des outils tiers. La faiblesse avait été décelée ces derniers jours par un développeur, Pedro José Pereira Vieito, qui avait partagé des vidéos montrant ce défaut.
Un stockage en clair, et une mise à jour pour corriger le tir
C’est une découverte fortuite : l’intéressé voulait savoir de quelle manière l’application travaillait sur Mac et comprendre pourquoi OpenAI n’utilisait pas certaines protections de macOS, pour éviter les accès indésirables. En particulier, depuis macOS 10.14 (Mojave), le système d’exploitation d’Apple a renforcé l’accès à certaines données.
Il s’avère qu’OpenAI a choisi de stocker les conversations en texte clair dans un emplacement non protégé dans macOS. C’est désormais de l’histoire ancienne. Comme l’a appris The Verge début juillet, l’application pour macOS a été mise à jour pour stopper ce stockage en clair. Dorénavant, les conversations sont chiffrées.
Le risque était toutefois relativement modéré. Pour accéder à ces données en clair, il fallait déjà parvenir à créer un logiciel malveillant capable de trouver et exploiter ces données et, surtout, de réussir à l’envoyer sur un ordinateur cible, qu’il fasse son œuvre et ensuite envoie les informations en ligne vers le pirate. Pas mal d’obstacles, en somme.
Une porte-parole d’OpenAI a confirmé à nos confrères la résolution de cette faille. L’outil de démonstration conçu par le développeur, qui parvenait à récupérer les fichiers en clair depuis un dossier Mac (à l’adresse ~/Library/Application\ Support/com.openai.chat/conversations{uuid}/) ne fonctionne plus depuis la sortie du correctif.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
