Les serveurs de ChatGPT deviennent les nouveaux jouets des hackers.
0 đť•Ź
© Shutterstock / Selman GEDIK 𝕏
ChatGPT peut ĂŞtre très commode au quotidien : organiser un road-trip, gĂ©nĂ©rer des recettes de cuisine, des rĂ©sumĂ©s de textes, ou plus rĂ©cemment lui confier des tâches pour organiser votre quotidien. Malheureusement, on savait aussi qu’il peut ĂŞtre utilisĂ© Ă des fins bien moins honorables et servir de vĂ©ritable alliĂ© aux hackers.
Un certain Benjamin Flesch, sur sa page GitHub, vient de rendre compte de ses analyses du fonctionnement interne de ChatGPT. Celui-ci comporte une vulnĂ©rabilitĂ© bĂ©ante, qui peut ĂŞtre exploitĂ©e pour dĂ©cupler la puissance des attaques par dĂ©ni de service (attaques DDoS). Une cyberattaque qui consiste Ă crĂ©er une forme d’embouteillage numĂ©rique en surchargeant un système avec un volume de requĂŞtes anormalement Ă©levĂ©, qui bloque l’accès Ă un site web, un serveur ou une application.
L’API de ChatGPT : un couteau Ă double tranchant
Le cĹ“ur du problème rĂ©side dans le système de gestion des liens de ChatGPT. L’interface de programmation (API) prĂ©sente une faille fondamentale : elle ne vĂ©rifie ni la duplication des liens ni leur nombre maximal dans une requĂŞte. Cette nĂ©gligence technique permet Ă un attaquant d’exploiter les serveurs d’OpenAI, hĂ©bergĂ©s sur Microsoft Azure, comme multiplicateurs de force dans une attaque coordonnĂ©e. Une vraie porte dĂ©robĂ©e, facilement empruntable pour qui sait s’y prendre.
200% Deposit Bonus up to €3,000 180% First Deposit Bonus up to $20,000Le processus d’attaque se dĂ©roule en plusieurs Ă©tapes : l’assaillant envoie une requĂŞte contenant des milliers de liens identiques vers un site cible. Les serveurs d’OpenAI, sans aucun mĂ©canisme de contrĂ´le ou de limitation, dĂ©clenchent alors simultanĂ©ment une multitude de connexions vers ce mĂŞme site. Cette amplification transforme une simple requĂŞte malveillante en une avalanche de connexions parallèles, submergeant potentiellement l’infrastructure de la cible.
Imaginez qu’un cybercriminel au courant de cette faille souhaite mettre hors d’Ă©tat de nuire le site web d’une entreprise concurrente. Il pourrait procĂ©der de cette manière : premièrement, crĂ©er une requĂŞte contenant des milliers de liens pointant tous vers le site web de la cible et l’envoyer Ă l’API de ChatGPT. Les serveurs d’OpenAI envoient simultanĂ©ment un nombre considĂ©rable de requĂŞtes vers le site en question, qui se retrouve donc saturĂ© par le trafic et devient indisponible.
Qui est responsable de ce fiasco ?
Face Ă cette dĂ©couverte en janvier 2025, les experts en sĂ©curitĂ© informatique ont dĂ©ployĂ© un arsenal de moyens pour alerter les responsables. Les canaux officiels de signalement – plateformes de bug bounty, dĂ©pĂ´ts GitHub, Ă©quipes de support et de sĂ©curitĂ© – ont tous Ă©tĂ© mobilisĂ©s. La rĂ©ponse ? Un mur d’automates renvoyant vers des pages de FAQ et des dossiers classĂ©s sans suite.
Cette situation ubuesque perdure depuis la dĂ©couverte initiale. Les tentatives de communication, qu’elles visent OpenAI, Microsoft ou mĂŞme CloudFlare qui gère l’infrastructure de passerelle, se heurtent Ă une inertie administrative assez scandaleuse. En effet, les signalements sont soit ignorĂ©s, soit traitĂ©s comme de simples « informations » sans gravitĂ© particulière.
Un silence particulièrement inquiĂ©tant qui laisse planer le doute sur leurs vĂ©ritables prioritĂ©s : l’innovation Ă tout prix ou la sĂ©curitĂ© de leurs utilisateurs ? Le manque de responsabilitĂ© sociale est assez flagrant de la part des entreprises concernĂ©es par l’affaire et c’est Ă se demander pourquoi il n’y a pas de rĂ©elle rĂ©action de leur part.
- Une faille dans ChatGPT permet d’utiliser ses serveurs pour amplifier des attaques de type DDoS et saturer des sites web.
- Cette vulnĂ©rabilitĂ© provient d’un dĂ©faut de contrĂ´le dans la gestion des liens par l’API de ChatGPT.
- OpenAI, Microsoft et autres acteurs concernĂ©s n’ont pas pris de mesures malgrĂ© les alertes rĂ©pĂ©tĂ©es des experts en sĂ©curitĂ©.
[ ]