ChatGPT est beaucoup plus utile maintenant qu’il ne l’était lorsque je suis sorti, et cela grâce à l’utilisation de plugins et de GPT. Eh bien, si vous envisagez de les utiliser, vous risquez de mettre vos données et votre cybersécurité en danger. Les chercheurs de Salt Security ont découvert plusieurs vulnérabilités de sécurité avec les plugins et les GPT qui pourraient avoir conduit au piratage des comptes de certains utilisateurs de ChatGPT.
Les plugins et les GPT ajoutent plus d’utilité à ChatGPT. Ils permettent au chatbot de faire plus que simplement répondre aux questions typiques des chatbots IA. Considérez les GPT comme des versions plus petites de ChatGPT créées par l’utilisateur et spécialisées pour effectuer des tâches spécifiques. Les utilisateurs créent ces GPT et les publient dans la boutique GPT. Considérez-les donc comme des extensions de Google Chrome. Les utilisateurs les créent et les publient dans la boutique GPT, où vous pouvez les installer et les utiliser dans ChatGPT.
Des failles de sécurité ont été trouvées avec certains plugins ChatGPT
Salt Security a pu trouver trois problèmes potentiels différents affectant les utilisateurs. Ces problèmes pourraient permettre à de mauvais acteurs d’accéder aux comptes des utilisateurs, ce qui n’est jamais une bonne chose.
Première vulnérabilité
Le premier problème de sécurité survient lors de l’installation réelle d’un plugin ou d’un GPT. Malheureusement, ChatGPT ne vérifie pas qu’un utilisateur a commencé à installer un plugin. C’est un gros problème qui sera expliqué dans un instant.
Lorsque vous installez un nouveau plugin, ChatGPT doit le vérifier. Pour ce faire, le site Web du plugin devra vous envoyer un code. Vous enverrez ensuite ce code à ChatGPT qui vérifiera ce code auprès du site Web. Une fois que ChatGPT a vérifié que le code est légitime, le plugin est alors installé.
Cependant, c’est un moyen pour les mauvais acteurs de voler les informations des victimes. Le code secret est stocké dans un lien. Après cela, le plugin est installé avec les informations d’identification de l’utilisateur. Cela signifie que l’utilisateur a le contrôle du plugin.
C’est pourquoi il est dommage que ChatGPT ne vérifie pas que les utilisateurs ont démarré le processus d’installation. Un mauvais acteur peut envoyer à n’importe qui un lien contenant un code pour installer le plugin sur votre compte en utilisant les informations d’identification de l’attaquant. Étant donné que ChatGPT ne vérifie pas que le titulaire du compte a démarré le processus d’installation, toute personne qui envoie le code peut faire installer le plugin.
Une fois installé, l’attaquant aura le contrôle du GPT sur le compte de la victime. À ce stade, l’attaquant peut demander au plugin malveillant de rediriger toutes vos conversations et informations de chat vers celui-ci. Cela mettra toutes vos informations sensibles entre les mains de l’attaquant.
Deuxième vulnérabilité
La prochaine vulnérabilité est une menace majeure si vous utilisez le plugin AskTheCode. Il s’agit d’un plugin qui connecte votre compte ChatGPT à votre compte GitHub. Lorsque vous installez ce plugin, il crée en fait un compte distinct pour stocker vos informations d’identification GitHub.
Eh bien, les pirates informatiques sont capables de pénétrer dans les comptes GitHub des utilisateurs et de voler leurs référentiels GitHub grâce à une vulnérabilité. Selon le rapport, cette action se fait en envoyant à la victime un lien spécial. Le lien révélera une information clé sur l’utilisateur, appelée son ID membreset envoyez-le à l’attaquant.
Eh bien, le ID membres d’une personne est extrêmement crucial. Après ce point, l’attaquant accède à ChatGPT et installe le plugin AskTheCode. À ce stade, ils installeront le plugin et utiliseront l’identifiant de membre de la victime pour l’authentifier. Lorsque cela se produit, l’attaquant aura accès au compte AskTheCode et au compte GitHub de la victime. Cela donnera à l’attaquant l’accès aux référentiels.
Troisième vulnérabilité
Enfin, la troisième vulnérabilité est similaire à la seconde. L’attaquant enverrait un lien malveillant à la victime qui installerait le plugin mais en utilisant les informations d’identification de la victime. Cela donnera à l’attaquant le contrôle du compte de la victime.
Espérons que ces problèmes seront résolus avant que d’autres victimes n’apparaissent.
