En fin de semaine dernière, OpenAI a publié un article de blog expliquant pourquoi elle a dû retirer son chatbot conversationnel ChatGPT le 20 mars. La faute en revient à un bug lié à une bibliothèque open source qui permettait aux utilisateurs de voir les titres de l’historique d’un autre utilisateur actif. Le premier message d’une nouvelle conversation pouvait également être vu dans l’historique de chat de quelqu’un d’autre si les deux utilisateurs utilisaient le chatbot en même temps.
Mais ce qui est encore plus effrayant, c’est qu’OpenAI admet que le même bug pourrait être à l’origine de la fuite d’informations relatives au paiement d’un nombre limité d’utilisateurs de ChatGPT qui utilisaient la plateforme pendant une période donnée. Avant que OpenAI ne mette ChatGPT hors ligne pendant quelques heures lundi dernier, certains abonnés pouvaient voir le nom et le prénom, l’adresse électronique, l’adresse de paiement, les quatre derniers chiffres du numéro de carte de crédit et la date d’expiration de la carte de crédit d’un autre utilisateur actif. Le bug ne permettait pas de divulguer les numéros de carte de crédit complets.
Ces informations de paiement n’ont été divulguées que pour 1,2 % des abonnés de ChatGPT Plus actifs pendant une période de 9 heures. Open AI précise : « Nous pensons que le nombre d’utilisateurs dont les données ont été effectivement révélées à quelqu’un d’autre est extrêmement faible ». Pour accéder aux données personnelles susmentionnées, il aurait fallu ouvrir un e-mail de confirmation d’abonnement envoyé le lundi 20 mars, entre 10 heures et 19 heures, heure de Paris.
ChatGPT Plus est un service premium qui coûte 20 dollars par mois et qui promet un accès au Chatbot même pendant les heures de pointe. Il permet également d’obtenir des résultats plus rapidement et de bénéficier d’un accès prioritaire aux améliorations et aux nouvelles fonctionnalités.
En raison d’un bug, certains de ces e-mails ont été envoyés aux mauvais abonnés et contenaient les quatre derniers chiffres du numéro de carte de crédit d’un autre utilisateur. Il est possible qu’un petit nombre de ces e-mails aient été envoyés avant le 20 mars, mais cela n’a pas encore été confirmé par l’entreprise.
Les personnes concernées par le bug ont été informées et la faille a été corrigée
Un autre moyen d’obtenir les informations de paiement d’une autre personne consistait à cliquer sur « Mon compte », puis sur « Gérer mon abonnement » sur ChatGPT le lundi 20 mars. Dans cette fenêtre, il était possible de consulter le nom et le prénom, l’adresse électronique, l’adresse de paiement, les quatre derniers chiffres du numéro de carte de crédit et la date d’expiration de la carte de crédit d’un autre utilisateur. Il est possible que ces informations aient été disponibles avant le 20 mars, mais OpenAI n’a pas été en mesure de le confirmer.
La bonne nouvelle est que le bug a été corrigé et que le service a été rétabli. OpenAI affirme avoir pris contact avec les utilisateurs susceptibles d’être affectés et leur avoir dit que leurs informations de paiement avaient pu être exposées. L’entreprise se dit convaincue qu’il n’y a pas de « risque permanent » pour les données personnelles des utilisateurs.
L’entreprise ajoute que « tout le monde chez OpenAI s’engage à protéger la vie privée de nos utilisateurs et à assurer la sécurité de leurs données. C’est une responsabilité que nous prenons très au sérieux. Malheureusement, cette semaine, nous n’avons pas respecté cet engagement et n’avons pas répondu aux attentes de nos utilisateurs. Nous nous excusons à nouveau auprès de nos utilisateurs et de l’ensemble de la communauté ChatGPT et nous travaillerons avec diligence pour rétablir la confiance ».
Est-ce qu’un problème comme celui-ci va arrêter l’élan que ChatGPT a eu ? Il est trop tôt pour le dire et il est très probable que cela ne change pas la vision à long terme qu’OpenAI a pour ChatGPT.
