OpenAI a atténué un bogue d’exfiltration de données dans ChatGPT qui pourrait potentiellement divulguer les détails de la conversation vers une URL externe.

Selon le chercheur qui a découvert la faille, l’atténuation n’est pas parfaite, de sorte que les attaquants peuvent toujours l’exploiter sous certaines conditions.

De plus, les contrôles de sécurité n’ont pas encore été implémentés dans l’application mobile iOS pour ChatGPT, de sorte que le risque sur cette plate-forme n’est pas résolu.

Problème de fuite de données
Le chercheur en sécurité Johann Rehberger a découvert une technique pour exfiltrer les données de ChatGPT et l’a signalée à OpenAI en avril 2023. Le chercheur a ensuite partagé en novembre 2023 des informations supplémentaires sur la création de GPTS malveillants qui exploitent la faille pour hameçonner les utilisateurs.

« Ce TPG et les instructions sous-jacentes ont été rapidement signalés à OpenAI le 13 novembre 2023 », a écrit le chercheur dans cette divulgation.

« Cependant, le billet a été fermé le 15 novembre comme « Non applicable ». Deux demandes de suivi sont restées sans réponse. Par conséquent, il semble préférable de partager cela avec le public pour sensibiliser. »

Les GPT sont des modèles d’IA personnalisés commercialisés sous le nom d ‘ »applications d’IA », spécialisés dans divers rôles tels que les agents de support client, l’aide à la rédaction et à la traduction, l’analyse des données, la création de recettes de cuisine basées sur les ingrédients disponibles, la collecte de données pour la recherche et même les jeux.

Suite à l’absence de réponse du fournisseur du chatbot, le chercheur a décidé de divulguer publiquement ses conclusions le 12 décembre 2023, où il a fait la démonstration d’un tic-tac-toe GPT personnalisé nommé  » Le voleur!, ‘qui peut exfiltrer les données de conversation vers une URL externe exploitée par le chercheur.

Le vol de données implique un rendu de démarque d’image et une injection rapide, de sorte que l’attaque oblige la victime à soumettre une invite malveillante que l’attaquant a directement fournie ou publiée quelque part pour que les victimes puissent la découvrir et l’utiliser.

Alternativement, un GPT malveillant peut être utilisé, comme l’a démontré Rehberger, et les utilisateurs qui utilisent ce GPT ne réaliseraient pas les détails de leur conversation ainsi que les métadonnées (horodatages, ID utilisateur, ID de session) et les données techniques (adresse IP, chaînes d’agent utilisateur) sont exfiltrés vers des tiers.

Correctif incomplet d’OpenAI
Après que Rehberger ait publié les détails de la faille sur son blog, OpenAI a réagi à la situation et a implémenté des vérifications côté client effectuées via un appel à une API de validation pour empêcher le rendu des images provenant d’URL non sécurisées.

« Lorsque le serveur renvoie une balise d’image avec un lien hypertexte, il y a maintenant un appel côté client ChatGPT à une API de validation avant de décider d’afficher une image », explique Rehberger dans un nouvel article qui revient sur le problème pour discuter du correctif.

« Étant donné que ChatGPT n’est pas open source et que le correctif ne se fait pas via une politique de sécurité du contenu (visible et inspectable par les utilisateurs et les chercheurs), les détails exacts de la validation ne sont pas connus. »

Le chercheur note que dans certains cas, ChatGPT rend toujours des requêtes à des domaines arbitraires, de sorte que l’attaque peut encore fonctionner parfois, avec des divergences observées même lors du test du même domaine.

Étant donné que les détails spécifiques de la vérification qui détermine si une URL est sûre sont inconnus, il n’y a aucun moyen de connaître la cause exacte de ces divergences.

Cependant, il est à noter que l’exploitation de la faille est maintenant plus bruyante, a des limitations de taux de transfert de données et fonctionne beaucoup plus lentement.

Vérification de sécurité pour l’URL de l’image

Il est également mentionné que l’appel de validation côté client n’a pas encore été implémenté sur l’application mobile iOS, de sorte que l’attaque y reste à 100% non atténuée.

On ne sait pas non plus si le correctif a été déployé sur l’application Android ChatGPT, qui compte plus de 10 millions de téléchargements sur Google Play.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *