La faille de sécurité ChatGPT sur macOS pourrait devenir un outil d'espionnage clandestin.

Selon TechSpot, ce problème n'affecte que la version macOS de ChatGPT. Cette vulnérabilité permet à un logiciel malveillant de s'infiltrer dans la mémoire vive de l'application, surveillant et envoyant discrètement les données de conversation des utilisateurs vers un serveur distant contrôlé par le pirate. Plus inquiétant encore, même lorsque les utilisateurs initient de nouvelles sessions de chat, le logiciel malveillant reste en mémoire et continue de fonctionner.

Après avoir découvert la vulnérabilité, Rehberger l'a initialement signalée à OpenAI, la société qui a développé ChatGPT. Cependant, à l'époque, OpenAI ne l'a considérée que comme un « problème de sécurité », sans en évaluer la véritable gravité. Persévérant, Rehberger a développé un prototype d'attaque, baptisé « SpAIware », afin de démontrer les risques liés à cette vulnérabilité.

La faille de sécurité de l’application de chat GPT sur macOS peut devenir un outil d’espionnage clandestin (Figure 1). — La fonction de « stockage à long terme » permettra de traiter plus rapidement les données fournies par l'utilisateur, mais elle présente également des risques potentiels pour la sécurité.

Ce n'est qu'après la confirmation du problème qu'OpenAI a publié un correctif temporaire. Toutefois, le problème n'est pas entièrement résolu.

Risques potentiels liés aux logiciels malveillants

La fonctionnalité de « mémoire à long terme » de ChatGPT a commencé à être testée en février 2024 par OpenAI, permettant au chatbot de se souvenir d'informations telles que les noms, les sexes et les âges des utilisateurs sur plusieurs sessions de chat.

Cela améliore l'expérience utilisateur en fournissant des retours plus personnalisés. Cependant, cette même fonctionnalité constitue une vulnérabilité permettant aux pirates d'infiltrer et de maintenir des logiciels malveillants au sein du système.

Rehberger a indiqué que si un site web ou une image contenant un code malveillant est traité par ChatGPT, la commande malveillante est ajoutée à la mémoire à long terme et continue de s'exécuter à l'insu de l'utilisateur. Surtout, cette attaque ne nécessite pas d'accès direct au compte de l'utilisateur, ce qui rend la détection du logiciel malveillant encore plus difficile.

Correctif et avertissements d'experts

La faille de sécurité de l’application de chat GPT sur macOS peut devenir un outil d’espionnage clandestin (Figure 2). — OpenAI a publié un correctif pour sa version GPT sur macOS, mais les utilisateurs doivent vérifier régulièrement l'utilisation de la mémoire par l'application.

OpenAI a rapidement publié un correctif pour empêcher ChatGPT d'envoyer des données à des serveurs inconnus. Cependant, des logiciels malveillants peuvent toujours être ajoutés à la mémoire à long terme si les utilisateurs ne sont pas vigilants, notamment lors d'interactions avec des sites web ou des fichiers suspects. Rehberger conseille aux utilisateurs de macOS de rester vigilants et de vérifier régulièrement la mémoire de ChatGPT afin de détecter et de supprimer les données suspectes.

Actuellement, cette vulnérabilité n'a été découverte que dans la version macOS de ChatGPT. La version web et les autres plateformes n'ont pas encore été testées, mais il est possible qu'elles soient également affectées.

Bien qu'OpenAI ait pris des mesures pour corriger la vulnérabilité, le risque d'attaques de logiciels malveillants persiste. Les experts en sécurité insistent sur le fait que les utilisateurs doivent se protéger en limitant leurs interactions avec les sources non fiables et en vérifiant régulièrement les applications qui utilisent la mémoire à long terme.

Comment (0)