Cela a été découvert par des chercheurs de Salt Security. Les plugins ChatGPT offrent des capacités d’interaction avec des services tiers. Ils effectuent des tâches pour les utilisateurs sur des plateformes telles que GitHub, Google Drive et Salesforce. Ces plugins aident à étendre les fonctionnalités de ChatGPT, telles que l’accès aux informations sur Google Drive.
« Lorsque vous utilisez ces plugins, vous donnez réellement l’autorisation à ChatGPT d’envoyer des données délicates à votre place à un site Web tiers, et en fonction du plugin, vous autorisez également ces plugins à accéder à vos comptes privés sur Google Drive, GitHub et plus », décrit Salt Security.
Trois vulnérabilités
Les chercheurs ont trouvé un certain nombre de vulnérabilités dans les plugins. La première est une vulnérabilité dans ChatGPT lui-même. Lorsque les utilisateurs installent de nouveaux plugins, ChatGPT dirige l’utilisateur vers le site du plugin pour autoriser un code. ChatGPT peut alors interagir avec le plugin au nom de l’utilisateur. Cependant, un acteur destructeur peut abuser de ce processus en demandant l’approbation du code avec un plugin nuisible. Le plugin nuisible leur permet d’attaquer le compte utilisateur de la victime. Ensuite, chaque message d’un utilisateur vers ChatGPT est transmis au plugin. Si des détails délicats sont partagés, cela aboutit alors à une célébration destructrice.
Les autres vulnérabilités concernent davantage les services externes. Il s’agit d’une vulnérabilité dans PluginLab, une structure permettant d’établir des plugins. Salt Security a découvert que PluginLab n’avait pas confirmé correctement le compte utilisateur tout au long de l’installation. En exploitant intelligemment cela, un pirate informatique pourrait s’emparer d’un compte. Il existait une autre vulnérabilité liée à la redirection OAuth. Il s’est avéré que ce processus pouvait être abusé en envoyant un lien déclenchant un processus visant à voler les qualifications de connexion. Une fois de plus, cela a conduit à la prise de contrôle d’un compte.
Salt Security a alerté OpenAI et les fournisseurs tiers. Les vulnérabilités ont depuis été réparées.
Toute l’actualité en temps réel, est sur L’Entrepreneur