![Des [failles critiques] identifiées dans ChatGPT et ses plugs-in](https://incyber.org//wp-content/uploads/2024/03/incyber-news-data-corrupted-cybersecurite-cybersecurity-2160x735.jpg)
Des failles critiques identifiées dans ChatGPT et ses plugs-in
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
La société de cybersécurité Salt Security a détaillé, le 13 mars 2024, trois failles de sécurité critiques découvertes dans ChatGPT et ses plug-ins. La première touchait directement le LLM, et permettait de détourner son authentification OAuth. Cette faille autorisait l’envoi de liens, émanant officiellement de ChatGPT, pour installer des plugs-in piégés. Ces derniers auraient pu permettre de récupérer toutes les données liées à un compte du chatbot.
La seconde faille concernait le plug-in « AskTheCode », développé par PluginLab.ai : cette extension donne accès, depuis ChatGPT, à des dépôts GitHub. La vulnérabilité autorisait un pirate informatique à prendre le contrôle, via une attaque zero click, de l’intégralité du compte GitHub de sa victime. La troisième faille affectait plusieurs plugs-in, dont « Charts by Kesem AI ». Elle permettait d’infecter le lien d’authentification du plug-in pour accéder au compte ChatGPT de la victime.
Les éditeurs ont depuis corrigé les trois vulnérabilités, et rien n’indique qu’un cybercriminel les ait exploitées. « Nous pensons que certaines de ces vulnérabilités pourraient être évitées si les développeurs étaient plus conscients du risque. Nous appelons également OpenAI à mettre davantage l’accent sur la sécurité dans sa documentation destinée aux développeurs », avertit toutefois Salt Security.