Les chatbots basés sur ChatGPT sont à la mode. Mais les «GPT» créés par des tiers présentent des risques considérables, assure un expert californien en sécurité informatique.
20.01.2024, 11:5720.01.2024, 16:11
Daniel Schurter / watson.ch
Une enquête non représentative menée auprès de connaissances montre que de nombreuses personnes expérimentent leurs propres chatbots tant à titre privé que professionnel. Une méthode qui peut se montrer séduisante, car avec un tel outil, la charge de travail est nettement allégée pour ceux qui utilisent l'intelligence artificielle pour des tâches «laborieuses» ou pour plus de créativité.
Quel est le problème?
Récemment, OpenAI a ajouté une nouvelle corde à son arc: Il existe désormais une sorte de boutique d'applications pour les chatbots.
Le magasin GPT permet aux clients payants qui ont un abonnement ChatGTP-Plus d'utiliser des chatbots créés par d'autres utilisateurs et d'en publier eux-mêmes. Ces bots, qui s'appuient sur les capacités de ChatGPT, sont appelés «GPTs». Et les développeurs tiers qui les créent sont les «builders».
Le fait que les GPT soient accessibles sur la plateforme d'OpenAI ne signifie toutefois pas qu'ils offrent le même niveau de sécurité et de protection des données que ChatGPT lui-même.
La bonne nouvelle c'est que les données que l'on saisit pendant les chats ne sont pas toutes accessibles aux développeurs tiers. OpenAI précise dans ses FAQ sur la protection des données que le contenu des chats lui-même est largement protégé.
Sur le site web d'OpenAI, on peut d'ailleurs lire à ce sujet:
«Pour l'instant, les développeurs n'ont pas accès aux conversations spécifiques avec leurs GPT afin de protéger la vie privée des utilisateurs. Cependant, OpenAI réfléchit à de futures fonctionnalités qui fourniront aux constructeurs des mécanismes d'analyse et de feedback pour améliorer leurs GPT sans compromettre la vie privée.»
Mais les builders peuvent relier leurs propres interfaces de programmation (API) à leurs bots afin d'en étendre la fonctionnalité. Et là, selon OpenAI, il faut faire attention: «Ici, des parties de vos chats sont partagées avec le fournisseur tiers de l'API, qui n'est pas soumis aux obligations de protection des données et de sécurité d'OpenAI».
OpenAI ne vérifie pas de manière indépendante les pratiques de ces développeurs en matière de protection des données et de sécurité, souligne-t-on. Un avertissement clair est ainsi adressé aux utilisateurs:
«N'utilisez les API que si vous avez confiance dans le fournisseur»
L'expert en sécurité informatique Alastair Paterson, directeur de l'entreprise américaine Harmonic Security, a publié la semaine dernière un billet de blog sur le sujet. Dès le titre, le spécialiste met en garde contre un loup déguisé en mouton. Et de préciser:
«Si j'étais un attaquant, je pourrais créer une application vous invitant à télécharger des documents, des présentations, du code ou des PDF, et cela pourrait sembler relativement inoffensif. L'application pourrait même vous encourager à publier des données clients ou de la propriété intellectuelle ou tout autre matériel sensible qui pourrait ensuite être utilisé contre des employés ou des entreprises».
Alastair Paterson, expert en sécurité informatique Source: harmonic.security
À propos d'Alastair Paterson
Le Californien Alastair Paterson est un entrepreneur actif dans le domaine de la cybersécurité. Il est actuellement PDG d'Harmonic Security, qu'il a cofondée en 2023 «pour aider les entreprises à accélérer l'adoption de l'IA sans se soucier de la sécurité et de la confidentialité de leurs données sensibles». Auparavant, il a cofondé la société de cybersécurité Digital Shadows, un «logiciel de protection contre les risques numériques» qui vise à permettre à des tiers de limiter les contenus nuisibles à la réputation sur Internet et d'autres cyberrisques.
Dans une déclaration au média américain Dark Reading, un porte-parole d'OpenAI a tenté d'apaiser les choses:
«Pour nous assurer que les GPT respectent nos directives, nous avons mis en place un nouveau système de vérification en plus des mesures de sécurité existantes que nous avons intégrées dans nos produits. Le processus de vérification comprend à la fois des vérifications humaines et des vérifications automatiques. Les utilisateurs peuvent également signaler les GPT».
Bien entendu, OpenAI est loin d'être la première entreprise à disposer d'une boutique d'applications. Il n'est toutefois pas certain que les contrôles soient aussi stricts que ceux d'Apple, Google et d'autres. Au cours des deux mois qui ont suivi l'introduction des GPT personnalisables par OpenAI, plus de 3 millions de nouveaux bots ont été créés. Il semble que ce soit «un processus de vérification très simple» pour publier une application, fait remarquer Paterson.
Le fait que les utilisateurs doivent signaler les chatbots problématiques à OpenAI afin qu'ils soient contrôlés et éventuellement supprimés illustre une attitude habituelle des entreprises technologiques de la Silicon Valley: la protection de la sphère privée et la sécurité des données des utilisateurs n'ont pas la même importance que la croissance rapide.
Chez OpenAI, on accepte donc sciemment le risque d'une utilisation abusive de la technique ChatGPT. Et nous, les utilisateurs, sommes les cobayes. Exactement comme l'ont fait avec succès Google, Meta et autres.
Traduit et adapté par Noëline Flippe
Informations erronées générées par l'IA
Les cyberattaques ainsi que les informations erronées et la désinformation posent de plus en plus de problèmes à l'économie et deviennent un défi mondial: c'est ce qui ressort du «Global Risk Report 2024» de cette année, publié par le Forum économique mondial (WEF) en collaboration avec la Zurich Assurance. Le rapport se base sur une enquête menée auprès de quelque 1400 experts, responsables politiques et leaders du secteur. L'experte en sécurité informatique Adenike Cosgrove de la société Proofpoint souligne dans ce contexte les dangers concrets des fausses informations générées par l'IA: «Les cybercriminels peuvent utiliser des outils d'IA pour créer des e-mails de phishing convaincants et des images falsifiées, ainsi que pour passer des appels téléphoniques frauduleux, ce qui leur permet de tromper encore mieux leurs victimes potentielles avec des attaques d'ingénierie sociale».
La controversée agence de l'ONU, l'UNRWA, ne sera pas remplacée par la Croix-Rouge à Gaza et dans les territoires palestiniens. Son patron a rejeté cette idée.
Le Comité international de la Croix-Rouge (CICR) ne remplacera pas l'Agence de l'ONU pour les réfugiés palestiniens (UNRWA). Lundi, le directeur du CICR Pierre Krähenbühl réagissait dans Le Temps à la volonté d'élus de l'UDC et d'une partie du PLR de voir le CICR remplacer l'UNRWA, sous le feu des critiques depuis plusieurs semaines.
