Les images envoyées à des chatbots d’IA peuvent être conservées pendant une durée indéterminée et, entre de mauvaises mains, servir à usurper une identité, escroquer ou créer de faux profils sur les réseaux sociaux.
La tendance des caricatures générées par l’intelligence artificielle (IA), qui mettent en scène tout ce qu’un chatbot sait d’une personne dans une image colorée, peut présenter de sérieux risques pour la sécurité, selon des experts en cybersécurité.
PUBLICITÉ
PUBLICITÉ
Les utilisateurs mettent en ligne une photo d’eux-mêmes, accompagnée d’un logo d’entreprise ou de détails sur leur poste, et demandent à ChatGPT d’OpenAI de créer une caricature d’eux et de leur travail à partir de ce que le chatbot sait à leur sujet.
Des experts en cybersécurité ont expliqué à Euronews Next que les défis sur les réseaux sociaux, comme les caricatures générées par l’IA, peuvent offrir aux fraudeurs une véritable mine d’informations. Une seule image, associée à des données personnelles, peut en dire bien plus que les utilisateurs ne l’imaginent.
« Vous faites le travail des fraudeurs à leur place : vous leur donnez une représentation visuelle de qui vous êtes », estime Bob Long, vice-président de l’entreprise de vérification de l’âge Daon.
Rien que la formulation devrait mettre la puce à l’oreille, fait-il valoir, car « on dirait que cela a été lancé délibérément par un fraudeur qui cherchait à se simplifier la vie ».
Que deviennent les images une fois mises en ligne ?
Lorsqu’un utilisateur envoie une image à un chatbot d’IA, le système l’analyse pour en extraire des données, comme l’émotion de la personne, son environnement ou encore des éléments susceptibles de révéler sa localisation, explique le consultant en cybersécurité Jake Moore. Ces informations peuvent ensuite être conservées pendant une durée indéterminée.
Selon Long, les images collectées auprès des utilisateurs peuvent être utilisées et conservées pour entraîner les générateurs d’images par IA, en les intégrant à leurs jeux de données.
Une violation de données au sein d’une entreprise comme OpenAI pourrait faire tomber entre de mauvaises mains des informations sensibles, comme les images envoyées et les données personnelles collectées par le chatbot, qui pourraient alors être exploitées.
Entre de mauvaises mains, une seule image en haute résolution pourrait servir à créer de faux comptes sur les réseaux sociaux ou des deepfakes réalistes générés par IA pour monter une arnaque, prévient Charlotte Wilson, responsable de l’activité entreprise chez Check Point, une entreprise israélienne de cybersécurité.
« Les selfies aident les criminels à passer d’arnaques génériques à des usurpations d’identité personnalisées, très convaincantes », ajoute-t-elle.
Les paramètres de confidentialité d’OpenAI indiquent que les images envoyées peuvent être utilisées pour améliorer le modèle, ce qui peut inclure son entraînement. Interrogé sur ces paramètres de confidentialité, ChatGPT a tenu à préciser que cela ne signifie pas que chaque photo est versée dans une base de données publique.
Le chatbot explique plutôt qu’il s’appuie sur des tendances issues des contenus des utilisateurs pour affiner la façon dont le système génère des images.
Que faire si vous voulez participer aux tendances liées à l’IA ?
Pour ceux qui souhaitent malgré tout suivre la tendance, les experts recommandent de limiter ce qu’ils partagent.
Selon Wilson, les utilisateurs devraient éviter de mettre en ligne des images qui révèlent des éléments d’identification.
« Cadrez serré, gardez un arrière-plan neutre et n’incluez ni badges, ni uniformes, ni cordons professionnels, ni indices de localisation, ni aucun élément qui vous relie à un employeur ou à une routine », conseille-t-elle.
Wilson met aussi en garde contre la tendance à trop en dire dans les requêtes, par exemple en mentionnant son intitulé de poste, sa ville ou son employeur.
Moore recommande par ailleurs de vérifier les paramètres de confidentialité avant de participer, y compris l’option permettant d’exclure ses données de l’entraînement de l’IA.
OpenAI dispose d’un portail de confidentialité qui permet aux utilisateurs de refuser que leurs données servent à entraîner l’IA, en cliquant sur « Do not train on my content ».
Les utilisateurs peuvent aussi empêcher l’utilisation de leurs conversations textuelles avec ChatGPT pour l’entraînement du modèle en désactivant le paramètre « Improve the model for everyone ».
En vertu du droit européen, les utilisateurs peuvent demander la suppression des données personnelles collectées par l’entreprise. OpenAI précise toutefois qu’elle peut conserver certaines informations même après suppression, afin de lutter contre la fraude, les abus et les menaces pesant sur la sécurité.