ChatGPT : une nouvelle arme pour les cybercriminels ?

Les serveurs de ChatGPT deviennent les nouveaux jouets des hackers.

0 𝕏

© Shutterstock / Selman GEDIK 𝕏

ChatGPT peut être très commode au quotidien : organiser un road-trip, générer des recettes de cuisine, des résumés de textes, ou plus récemment lui confier des tâches pour organiser votre quotidien. Malheureusement, on savait aussi qu’il peut être utilisé à des fins bien moins honorables et servir de véritable allié aux hackers.

Un certain Benjamin Flesch, sur sa page GitHub, vient de rendre compte de ses analyses du fonctionnement interne de ChatGPT. Celui-ci comporte une vulnérabilité béante, qui peut être exploitée pour décupler la puissance des attaques par déni de service (attaques DDoS). Une cyberattaque qui consiste à créer une forme d’embouteillage numérique en surchargeant un système avec un volume de requêtes anormalement élevé, qui bloque l’accès à un site web, un serveur ou une application.

L’API de ChatGPT : un couteau à double tranchant

Le cœur du problème réside dans le système de gestion des liens de ChatGPT. L’interface de programmation (API) présente une faille fondamentale : elle ne vérifie ni la duplication des liens ni leur nombre maximal dans une requête. Cette négligence technique permet à un attaquant d’exploiter les serveurs d’OpenAI, hébergés sur Microsoft Azure, comme multiplicateurs de force dans une attaque coordonnée. Une vraie porte dérobée, facilement empruntable pour qui sait s’y prendre.

200% Deposit Bonus up to €3,000 180% First Deposit Bonus up to $20,000

Le processus d’attaque se déroule en plusieurs étapes : l’assaillant envoie une requête contenant des milliers de liens identiques vers un site cible. Les serveurs d’OpenAI, sans aucun mécanisme de contrôle ou de limitation, déclenchent alors simultanément une multitude de connexions vers ce même site. Cette amplification transforme une simple requête malveillante en une avalanche de connexions parallèles, submergeant potentiellement l’infrastructure de la cible.

Imaginez qu’un cybercriminel au courant de cette faille souhaite mettre hors d’état de nuire le site web d’une entreprise concurrente. Il pourrait procéder de cette manière : premièrement, créer une requête contenant des milliers de liens pointant tous vers le site web de la cible et l’envoyer à l’API de ChatGPT. Les serveurs d’OpenAI envoient simultanément un nombre considérable de requêtes vers le site en question, qui se retrouve donc saturé par le trafic et devient indisponible.

Qui est responsable de ce fiasco ?

Face à cette découverte en janvier 2025, les experts en sécurité informatique ont déployé un arsenal de moyens pour alerter les responsables. Les canaux officiels de signalement – plateformes de bug bounty, dépôts GitHub, équipes de support et de sécurité – ont tous été mobilisés. La réponse ? Un mur d’automates renvoyant vers des pages de FAQ et des dossiers classés sans suite.

Cette situation ubuesque perdure depuis la découverte initiale. Les tentatives de communication, qu’elles visent OpenAI, Microsoft ou même CloudFlare qui gère l’infrastructure de passerelle, se heurtent à une inertie administrative assez scandaleuse. En effet, les signalements sont soit ignorés, soit traités comme de simples « informations » sans gravité particulière.

Un silence particulièrement inquiétant qui laisse planer le doute sur leurs véritables priorités : l’innovation à tout prix ou la sécurité de leurs utilisateurs ? Le manque de responsabilité sociale est assez flagrant de la part des entreprises concernées par l’affaire et c’est à se demander pourquoi il n’y a pas de réelle réaction de leur part.

• Une faille dans ChatGPT permet d’utiliser ses serveurs pour amplifier des attaques de type DDoS et saturer des sites web.
• Cette vulnérabilité provient d’un défaut de contrôle dans la gestion des liens par l’API de ChatGPT.
• OpenAI, Microsoft et autres acteurs concernés n’ont pas pris de mesures malgré les alertes répétées des experts en sécurité.

[ ]