Posté le avril 9, 2023 à 6:32

OPENAI A LANCÉ UN PROGRAMME DE BUG BOUNTY QUI OFFRE JUSQU’À 20 000 DOLLARS POUR LES FAILLES DE SÉCURITÉ DE CHATGPT

ChatGPT, un nouveau chatbot créé par OpenAI, a impressionné le monde entier par ses capacités avancées. Des rapports récents ont suggéré qu’il était capable de réussir les examens des facultés de droit avec un score parmi les 10 % les plus élevés. Cependant, OpenAI souhaite éliminer toutes les failles de sécurité potentielles et a donc lancé hier, 11 avril, un nouveau programme de recherche de vulnérabilités (bug bounty program).

OpenAI lance un programme de primes aux bugs

Selon le programme, OpenAI fait appel à des hackers white hat pour vérifier leurs produits et essayer de trouver des failles. En retour, l’entreprise paiera jusqu’à 20 000 dollars, en fonction de la gravité de la faille.

Outre son engagement à sécuriser l’intelligence artificielle, l’entreprise souhaite également rassurer les experts en sécurité sur le fait qu’elle fait tout ce qui est en son pouvoir pour agir de manière responsable en impliquant son produit. Le fait est qu’elle est surveillée de près par les experts en sécurité depuis qu’elle a lancé son prototype ChatGPT en novembre 2022.

Mike Thompson, de Zen Internet, a commenté cette décision en déclarant qu’il était important qu’OpenAI gère en priorité un programme de primes aux bugs. « Étant donné que la technologie date de novembre 2022, le vertige insensé qui s’en est suivi a complètement éclipsé le risque potentiel », a-t-il ajouté.

Dans son annonce, l’entreprise a admis que, malgré ses investissements dans la recherche et l’ingénierie visant à garantir la sécurité des systèmes d’IA, des vulnérabilités et des failles pourraient encore apparaître. Aucun code n’est parfait, et OpenAI en est consciente. L’entreprise a ajouté qu’elle estimait que la collaboration et la transparence étaient essentielles pour faire face à cette réalité. C’est pourquoi elle invite la communauté mondiale des hackers éthiques, des chercheurs en sécurité et des passionnés de technologie, en général, à l’aider à identifier les failles que le système pourrait contenir.

Avant cela, OpenAI a publié une annonce le 23 mars, indiquant qu’elle avait corrigé une faille trouvée dans ChatGPT4. Cette faille permettait aux utilisateurs de voir les titres des chats d’autres utilisateurs, et elle a été active pendant une période de neuf heures le 20 mars. Cette faille a suscité des inquiétudes quant au respect de la vie privée dans le cadre de ChatGPT et de sa bibliothèque open source.

Zaira Pirzada, conseillère en cybersécurité chez Lionfish Tech, a déclaré que ce n’était pas la limite des failles trouvées, ni de celles qui existeront un jour. C’est la raison d’être des programmes de bug bounty, qui se sont révélés être l’une des mesures les plus efficaces que les entreprises puissent prendre pour garantir la sécurité de leurs produits. Elle a également noté que le PDG d’OpenAI, Sam Altman, comprend probablement que le public est une partie nécessaire des tests, et pas seulement de la consommation.

Un programme de bug bounty est un grand pas dans la bonne direction

Pour gérer le processus de soumission et de récompense, OpenAI a fait équipe avec Bugcrowd. Casey Ellis, fondateur et directeur technique par intérim de Bugcrowd, a déclaré que le fait de solliciter activement l’avis de la communauté des hackers sur la sécurité du produit est un atout majeur pour OpenAI. Plus encore, cela continuera à valider les hackers en tant que système immunitaire d’internet.

En outre, la volonté de transparence de l’entreprise contribuera grandement à renforcer la confiance des utilisateurs sur ce marché relativement nouveau et en plein développement. Nikki Webb, responsable du réseau mondial de Custodian360, s’est fait l’écho de ces idées en déclarant que l’approche collaborative des bug bounty est source d’amélioration continue. En outre, elle protège les données des utilisateurs et renforce la sécurité globale dans le paysage numérique.

Comme indiqué, OpenAI offre jusqu’à 20 000 dollars pour les découvertes les plus exceptionnelles, tandis que les vulnérabilités moins importantes recevront des récompenses moins élevées. À l’heure où nous écrivons ces lignes, les hackers ont déjà trouvé plus de 10 failles qui ont été jugées légitimes et ont déjà été récompensées. Cependant, les hackers ne sont pas autorisés à divulguer les détails des failles dans le cadre du programme, du moins pas avant qu’elles n’aient été corrigées par l’équipe d’OpenAI.

Les hackers éthiques ont reçu pour instruction d’explorer les API d’OpenAI, ChatGPT, AP Keys, et toute cible d’entreprise tierce liée à OpenAI, le site web OpenAI.com, ainsi que OpenAI research org. Comme l’a fait remarquer Jake Moore d’ESET, un seul programme de primes aux bugs ne permettra certainement pas d’éliminer tous les vecteurs d’attaque possibles, mais il constituera un outil supplémentaire dans le cadre de la prévention des menaces.