L’application ChatGPT pour Mac stockait les informations en clair
Le 05 juillet à 08h00
2 min
Sécurité
Sécurité
OpenAI a lancé il y a deux mois une application Mac officielle pour ChatGPT. Comme l’a cependant démontré le développeur Pedro José Pereira Vieito sur Mastodon et Threads, l’application stockait les informations en clair.
On pouvait très facilement trouver ces informations dans le dossier ~/Library/Application Support/com.openai.chat, sous forme de fichiers .data. Pereira Vieito a donc créé une petite application pour trouver ces informations et les présenter sous une forme exploitable.
Si les informations étaient aussi facilement accessibles, c’est parce qu’OpenAI a choisi de ne pas placer son application dans une sandbox. Après tout, l'entreprise n'y est pas tenue, puisque son client officiel est disponible depuis son propre site, pas via le Mac App Store.
En outre, l’éditeur a choisi de stocker les informations dans un dossier non protégé. Apple recommande aux développeurs de stocker les informations personnelles dans les dossiers prévus à cet effet. Depuis Mojave (macOS 10.14), ces dossiers sont protégés, leur accès devant être confirmé par l’utilisateur.
OpenAI a corrigé depuis le tir en déployant une nouvelle version de son application il y a quelques jours. Les conversations sont désormais chiffrées et le programme créé par Pedro José Pereira Vieito ne fonctionne plus.
« Nous sommes conscients de ce problème et avons livré une nouvelle version de l'application qui chiffre ces conversations. Nous nous engageons à fournir une expérience utilisateur utile tout en maintenant nos normes de sécurité élevées au fur et à mesure que notre technologie évolue », a déclaré une porte-parole à The Verge.
Le 05 juillet à 08h00
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/07/2024 à 12h59
Ah bah faut croire que leur technologie n'incluait pas la sécurisation des données ...
Modifié le 05/07/2024 à 14h53
Honnêtement l'historique de ChatGPT est probablement moins sensible que beaucoup d'autres infos non sandboxées sur un ordinateur.
L'attaque envers cette application spécifique n'est pas justifiée à mon avis. Si on veut exiger que toutes les applis soient nécessairement sandboxées c'est vers Apple qu'il faut se tourner. Mais ça va faire le beurre des journalistes de propager l'info (trompeuse) comme quoi "OpenAI ne protège pas vos données".
Par exemple, VSCode n'est pas sandboxé, pas plus que les utilitaires comme git. Ça implique que tous vos codes sources même les plus confidentiels ne sont pas sandboxés sur macOS. Un scandale ? Pas vraiment.
Le 05/07/2024 à 16h46