La société OpenAI (unité de développement de ChatGPT) vient de confirmer la découverte d'une faille de sécurité liée à un outil tiers, mais a souligné qu'aucun signe n'a été enregistré indiquant que les données des utilisateurs ont été consultées ou que le système a été compromis.
Selon l'annonce, l'incident est dû à la bibliothèque de développement populaire Axios, qui a été identifiée comme ayant été compromise le 31 mars lors d'une attaque à grande échelle contre la chaîne d'approvisionnement logiciel.
OpenAI a déclaré que l'attaque avait fait que leur processus de travail sur GitHub Actions avait accidentellement téléchargé et exécuté une version malveillante d'Axios.
Ce processus permet d'accéder aux certificats et documents d'authentification utilisés pour signer des applications macOS tels que ChatGPT Desktop, Codex, Codex-cli et Atlas.
Cependant, après analyse, la société a affirmé qu'il n'y avait aucune preuve que ces certificats signés aient été volés avec succès. Dans le même temps, OpenAI n'a pas non plus enregistré de modification du logiciel, de violation des propriétés intellectuelles ou d'accès illégal aux données des utilisateurs.
La cause profonde de l'incident a été identifiée comme une erreur de configuration dans le processus GitHub Actions. OpenAI a déclaré que ce problème avait été corrigé et que des mesures de sécurité supplémentaires étaient en cours de mise en œuvre pour renforcer le contrôle de la chaîne d'approvisionnement logiciel.
Pour minimiser les risques, l'entreprise met à jour ses certificats de sécurité et demande à tous les utilisateurs de macOS de mettre à niveau l'application OpenAI vers la dernière version.
Cette mesure vise à prévenir le risque que de fausses applications profitent des anciennes licences pour diffuser des logiciels malveillants.
De plus, OpenAI annonce qu'à partir du 8 mai, les anciennes versions de l'application ChatGPT sur macOS ne seront plus prises en charge ou mises à jour, et peuvent également cesser de fonctionner. Il est recommandé aux utilisateurs de se mettre à jour rapidement pour assurer la sécurité et une expérience stable.
Il est à noter que la société affirme également que les mots de passe et les clés API des utilisateurs ne sont pas affectés par cet incident.
