L’entreprise américaine OpenAI, créatrice de ChatGPT, a révélé avoir été victime d’une cyberattaque qui a permis à des pirates d’accéder à certaines données internes de l’entreprise. Dans une note de sécurité publiée cette semaine, le groupe indique que l’attaque a été détectée puis contenue, tout en assurant qu’aucune donnée utilisateur n’a été compromise.
Selon les premiers éléments communiqués, les hackers seraient parvenus à infiltrer deux appareils appartenant à des employés d’OpenAI. Leur méthode consistait à compromettre un projet open source utilisé par les développeurs, en y injectant un logiciel malveillant via une fausse mise à jour.
Le malware aurait été dissimulé dans TanStack, une bibliothèque logicielle largement utilisée dans le développement d’applications. Cette technique, connue sous le nom d’attaque de la chaîne d’approvisionnement logicielle (supply chain attack), permet de toucher indirectement de nombreuses entreprises en ciblant leurs outils de travail.
Des informations internes exposées
OpenAI reconnaît que « certaines informations d’identification » ont été exfiltrées lors de l’incident. Une enquête interne a également établi que cette intrusion s’inscrivait dans une campagne baptisée « Mini Shai-Hulud ». À ce stade, l’entreprise affirme toutefois n’avoir constaté aucune utilisation frauduleuse des identifiants concernés, ni aucun accès supplémentaire après l’incident.
Point jugé rassurant, OpenAI assure que les données des utilisateurs de ChatGPT, estimés à plusieurs centaines de millions chaque semaine, n’ont pas été affectées. « Aucune autre donnée ni aucun autre code n’a été compromis », précise l’entreprise, qui a décidé de renforcer immédiatement ses mesures de sécurité.
Une mise à jour recommandée aux utilisateurs Mac
Par précaution, OpenAI a renouvelé certains certificats de sécurité et recommande aux utilisateurs de macOS de mettre à jour leur application ChatGPT afin de bénéficier des protections renforcées. L’origine exacte de l’attaque reste inconnue. Des similitudes avec les méthodes employées par le groupe de hackers TeamPCP ont été relevées, mais aucun lien formel n’a encore été établi.
Laisser un commentaire