Un hacker a volé des détails internes sur l'IA d'OpenAI lors d'une violation en 2023 : rapport

Un hacker a eu accès aux systèmes de messagerie internes du créateur de ChatGPT, OpenAI, au début de l’année dernière, et a volé des informations sur la conception des produits d’intelligence artificielle (IA) de l’entreprise, a déclaré un rapport publié par The New York Times jeudi.

Le hacker aurait extrait des conversations d’un forum en ligne interne où les employés d’OpenAI discutaient des dernières avancées technologiques sur lesquelles l’entreprise travaillait, a rapporté le NYT, citant deux personnes au courant de l’affaire.

Cependant, le hacker n’a pas pu accéder aux systèmes où OpenAI héberge et construit ses produits d’IA.

L’entreprise a partagé des informations sur la violation de sécurité avec ses employés et son conseil d’administration lors d’une réunion générale en avril 2023.

Cependant, le rapport a ajouté qu’elle n’a pas partagé les informations publiquement, car aucune information liée à ses clients ou partenaires n’a été volée lors du prétendu piratage.

De plus, les dirigeants d’OpenAI n’ont apparemment pas considéré l’incident comme une menace pour la sécurité nationale, car ils pensaient que le hacker était un individu indépendant sans liens connus avec un gouvernement étranger.

L’entreprise basée à San Francisco n’a également pas informé le F.B.I. ou quiconque dans les forces de l’ordre au sujet de l’intrusion.

Un porte-parole d’OpenAI a reconnu un « incident de sécurité » dans une déclaration mais n’a pas fourni d’informations supplémentaires sur la violation.

« Comme nous l’avons partagé avec notre conseil d’administration et nos employés l’année dernière, nous avons identifié et corrigé le problème de sécurité sous-jacent et continuons d’investir dans le renforcement de notre sécurité », a déclaré le porte-parole de l’entreprise.

En mai de cette année, OpenAI a déclaré qu’elle avait bloqué cinq opérations d’influence secrètes qui souhaitaient utiliser ses modèles d’IA pour des « activités trompeuses » sur Internet. Cela souligne les préoccupations croissantes concernant le potentiel d’utilisation abusive des technologies avancées d’IA.

Étant donné l’importance croissante de la technologie IA, les attaques contre les entreprises d’IA sont susceptibles de se poursuivre et d’augmenter, a averti le Dr Ilia Kolochenko, expert en cybersécurité et directeur général de la société de sécurité ImmuniWeb.

« Bien que les détails de l’incident présumé ne soient pas encore confirmés par OpenAI, il y a une forte possibilité que l’incident ait réellement eu lieu et ne soit pas le seul.

« La course mondiale à l’IA est devenue une question de sécurité nationale pour de nombreux pays ; par conséquent, les groupes de cybercriminalité soutenus par l’État et les mercenaires ciblent agressivement les fournisseurs d’IA, des start-ups talentueuses aux géants de la technologie comme Google ou OpenAI », a-t-il déclaré.

Kolochenko a ajouté que les hackers concentrent principalement leurs efforts sur le vol de propriété intellectuelle précieuse, y compris la recherche technologique et le savoir-faire, les grands modèles de langage (LLM), les sources de données d’entraînement et des informations commerciales telles que les clients des fournisseurs d’IA et les nouvelles utilisations de l’IA dans différents secteurs.

« Des acteurs de cybermenaces plus sophistiqués peuvent également implanter des portes dérobées discrètes pour contrôler en permanence les entreprises d’IA piratées, et pour pouvoir soudainement perturber ou même arrêter leurs opérations, similaire aux campagnes de piratage à grande échelle ciblant récemment les infrastructures nationales critiques (CNI) dans les pays occidentaux », a-t-il noté.

« Tous les utilisateurs d’entreprise des fournisseurs de GenAI devraient être particulièrement prudents et prudents lorsqu’ils partagent ou donnent accès à leurs données propriétaires pour l’entraînement ou le réglage fin des LLM, car leurs données – allant d’informations privilégiées avocat-client et de secrets commerciaux des principales entreprises industrielles ou pharmaceutiques à des informations militaires classifiées – sont également dans le collimateur des cybercriminels affamés d’IA qui sont prêts à intensifier leurs attaques. »

Alors que nous nous dirigeons vers un monde piloté par l’IA, de tels rapports sont un appel à la nécessité de mesures de cybersécurité robustes et de transparence, en particulier pour les organisations, afin d’assurer la sécurité et la confidentialité de leurs clients et partenaires.