C’est peut-être la pire chose qui pouvait arriver à OpenAI. Alors que son intelligence artificielle, ChatGPT, reste l’IA générative préférée des internautes, l’on apprend ce jour que la société de Sam Altman a fait l’objet d’une cyberattaque d’envergure le 11 mai dernier. Deux des employés de la firme ont vu leur appareil compromis dans le cadre d’une opération appelée “Mini Shai-Hulud”.
Dans le jargon de la cybersécurité, le type d’attaque dont OpenAI a fait indirectement l’objet est une supply chain attack. Les pirates ont en effet profité des ordinateurs de ces employés pour viser la bibliothèque open source TanStack npm. Cette bibliothèque est aujourd’hui l’une des plus populaires pour créer des applications web et est utilisée par des milliers d’entreprises.
OpenAI tient toutefois à rassurer les utilisateurs. “Nous avons confirmé que seules certaines données d’identification avaient été exfiltrées de ces dépôts de code et qu’aucune autre information ni aucun autre code n’avait été compromis.” En d’autres termes, les hackers n’ont pas attaqué OpenAI directement et donc aucune donnée utilisateur ni propriété intellectuelle n’ont été compromis. Les hackers n’ont eu accès “qu’à” un sous-ensemble limité de dépôts de code source auxquels ces deux employés avaient accès, et seules des données d’identification limitées ont été récupérées.
Des mesures face à la gravité de la situation
L’entreprise californienne affirme avoir pris des mesures face à la situation. Dès qu’elle a eu connaissance de cette attaque, elle aurait isolé des systèmes et identités compromis, révoqué des sessions utilisateurs et engagé une société tierce de forensique numérique afin de connaître le “comment” et le “pourquoi” de cette attaque.
Selon le communiqué d’OpenAI, les utilisateurs d’Android, d’iOS et de Windows n’ont rien à craindre. En revanche, ceux de macOS doivent prendre des précautions en installant impérativement la nouvelle mise à jour de toutes les applications d’OpenAI. ChatGPT Desktop, Codex App, Codex CLI et Atlas sont concernés et doivent être mis à jour via le Mac App Store avant le 12 juin, au risque d’être bloquées.
Cela permet d’éviter tout risque, aussi infime soit-il, que quelqu’un tente de diffuser une fausse application donnant l’impression de provenir d’OpenAI. – OpenAI
En réalité, les dépôts de code compromis contenaient des certificats de signature pour les produits OpenAI sur macOS, iOS et Windows. Par précaution, OpenAI procède à une rotation de ces certificats, et ce, afin d’empêcher un acteur malintentionné de distribuer une fausse app OpenAI.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
