OpenAI a confirmé une faille de sécurité impliquant la société Mixpanel, un fournisseur tiers d’outils d’analyse de données.
OpenAI, le créateur de ChatGPT, a confirmé un incident de sécurité, qui, selon l’entreprise, n’est pas de son fait.
La violation de données concerne un prestataire tiers d’analyses, Mixpanel, et a entraîné l’exposition d’un volume limité de données d’utilisateurs liées à sa plateforme API.
« Il ne s’agit pas d’une intrusion dans les systèmes d’OpenAI. Aucun chat, aucune requête API, aucune donnée d’usage de l’API, aucun mot de passe, identifiant, clé API, détail de paiement ou pièce d’identité n’a été compromis ou divulgué », a indiqué l’entreprise dans un e-mail adressé aux utilisateurs jeudi.
Mixpanel aurait détecté un intrus le 9 novembre, selon OpenAI.
L’acteur malveillant a accédé sans autorisation à une partie de ses systèmes et a exporté un jeu de données comportant des informations limitées permettant d’identifier des clients, ainsi que des données d’analyse.
OpenAI précise que les informations potentiellement concernées se limitaient aux noms, adresses e-mail et identifiants d’utilisateur.
OpenAI indique avoir cessé d’utiliser Mixpanel et réaffirme que la violation n’est pas liée à une faille dans ses propres systèmes.
Qu’est-ce que cela signifie pour vos données ?
L’entreprise a indiqué qu’elle allait enquêter sur l’incident et a appelé les utilisateurs à redoubler de vigilance face aux attaques de type hameçonnage et aux escroqueries par ingénierie sociale qui pourraient exploiter les données volées.
Les utilisateurs sont invités à activer l’authentification multifacteur comme mesure de protection supplémentaire pour leurs comptes.
OpenAI affirme qu’aucune conversation avec ChatGPT n’a été exposée, mais l’incident rappelle l’ampleur des données personnelles auxquelles l’entreprise a accès, à mesure que les internautes se confient aux chatbots.
OpenAI prévoit d’imposer des exigences de sécurité plus strictes à l’ensemble de ses partenaires externes.
Si l’utilisation par OpenAI des outils d’analyse de Mixpanel est une pratique courante, ceux-ci suivaient des données comme les adresses e-mail et la localisation qui n’étaient pas nécessaires à l’amélioration du produit, ce qui pourrait contrevenir au principe de minimisation des données du RGPD, selon Moshe Siman Tov Bustan, responsable d’une équipe de recherche en sécurité chez OX Security, une entreprise spécialisée dans la sécurité de l’IA.
« Les entreprises, des géants technologiques comme OpenAI aux start-up d’une seule personne, devraient toujours veiller à protéger au maximum et anonymiser les données clients envoyées à des tiers afin d’éviter que ce type d’informations ne soit volé ou divulgué », a-t-il déclaré à Euronews Next.
« Même en recourant à des prestataires légitimes et audités, chaque élément de donnée identifiable envoyé à l’extérieur crée un point d’exposition potentiel supplémentaire ».