Une récente étude menée met en lumière trois failles de sécurité majeures dans les plugins et GPTs de ChatGPT, potentiellement exposant les comptes des utilisateurs à des risques de piratage. Ces vulnérabilités soulèvent des préoccupations sérieuses quant à la sûreté des extensions personnalisées et leur impact sur la confidentialité des données.

Malgré les avancées remarquables de ChatGPT, les inquiétudes liées à ses vulnérabilités persistent, illustrées récemment par une fuite de données chez une entreprise pharmaceutique utilisant l’IA. Des mots de passe d'utilisateurs ont été exposés, soulignant la nécessité de renforcer les mesures de sécurité autour de ces technologies. Ce problème récent souligne les enjeux de sécurité et s'ajoute à la liste des préoccupations avec la découverte de trois nouvelles vulnérabilités.

Les plugins et GPTs représentent une avancée significative pour ChatGPT, en élargissant son champ d'application bien au-delà des capacités initiales. Néanmoins, cette innovation s'accompagne de risques non négligeables. L'étude de Salt Security révèle comment ces outils, censés enrichir les fonctions de cette application, pourraient en réalité compromettre gravement la sécurité des données. Leur processus d'installation révèle des lacunes préoccupantes, permettant à des acteurs malveillants de s'infiltrer dans les comptes des utilisateurs en détournant le processus d'authentification.

Les extensions que vous utilisez sur ChatGPT peuvent voler vos données

Les failles identifiées par Salt Security offrent un aperçu inquiétant de la manière dont les cybercriminels peuvent exploiter les fonctionnalités avancées de ChatGPT à des fins malveillantes. La première vulnérabilité, liée au processus d'installation des plugins, ouvre une porte dérobée permettant aux attaquants de prendre le contrôle des plugins et, par extension, des comptes des victimes. Cette faille expose non seulement les informations personnelles des utilisateurs, mais aussi leur réseau de communication au sein de l’application. Les seconde et troisième vulnérabilités exploitent des lacunes dans la gestion des identifiants et l'intégration des comptes tiers, comme GitHub. Elles amplifient davantage le risque, offrant aux attaquants un accès presque illimité aux ressources et données sensibles des utilisateurs.

Pour se protéger de ces failles, il est essentiel d'exercer une vigilance accrue, en privilégiant les extensions officielles ou celles jouissant d'une réputation solide au sein de la communauté. L'installation d’applications non vérifiées, souvent sources de fonctionnalités supplémentaires, peut s'avérer risquée. Ces derniers, susceptibles de contenir des vulnérabilités, ouvrent potentiellement la porte à des accès non autorisés. Opter pour des solutions approuvées et régulièrement mises à jour constitue une démarche préventive contre l'exposition à de telles menaces.

Source : Salt Security