Alors que le monde s’habitue à l’utilisation des assistants IA, nous découvrons les diverses fonctionnalités qu’ils offrent, tant bénéfiques que problématiques. Un point particulièrement inquiétant concerne une théorie selon laquelle ChatGPT pourrait être utilisé pour mener une attaque DDoS sur un site web sélectionné, bien qu’il ne s’agisse pas encore d’une menace concrète.
ChatGPT peut effectuer un nombre illimité de connexions hypertextes en une seule requête
Selon un rapport de Silicon Angle, un chercheur prénommé Benjamin Flesch a découvert que ChatGPT n’a pas de limite sur le nombre de liens qu’il peut accéder en générant une réponse. De plus, le service ne vérifie pas si les URL qu’il visite sont des doublons de celles déjà consultées. Le résultat est une vulnérabilité qui pourrait permettre à un individu malintentionné de convaincre ChatGPT de connecter des milliers de fois aux mêmes sites par requête :
Cette vulnérabilité peut être exploitée pour saturer n’importe quel site web ciblé par un utilisateur malveillant. En incluant des milliers d’hyperliens dans une seule requête, un attaquant pourrait provoquer la génération d’un volume considérable de requêtes HTTP vers le site de la victime. Ces connexions simultanées peuvent mettre à mal l’infrastructure du site ciblé, réalisant ainsi une attaque DDoS.
Benjamin Flesch estime que cette faille découle de “pratiques de programmation insuffisantes” et qu’en ajoutant quelques restrictions sur la manière dont ChatGPT explore l’internet, OpenAI pourrait éviter le risque d’une attaque DDoS accidentelle sur ses serveurs.
Elad Schulman, fondateur et PDG de la société de sécurité spécialisée dans l’IA générative Lasso Security Inc., rejoint l’avis de Benjamin Flesch tout en soulignant un autre risque potentiel lié à ces attaques. Elad pense que si un hacker parvenait à compromettre un compte OpenAI, il pourrait “facillement épuiser un budget mensuel alloué à un chatbot basé sur un modèle de langage en une seule journée”, ce qui engendrerait des dommages financiers si aucune mesure de protection n’est en place.
Nous espérons qu’au fur et à mesure de l’évolution de l’IA, les entreprises mettront en place des restrictions pour empêcher les acteurs malveillants d’abuser de leurs services. Déjà, il existe de nombreuses façons pour les hackers d’exploiter l’IA générative dans leurs attaques, et une hausse préoccupante des arnaques par vidéo générées par IA a été constatée avec l’amélioration de la technologie.
Points à retenir
- ChatGPT n’impose pas de limites sur le nombre de connexions qu’il établit en réponse à une requête, ouvrant la porte à de potentielles attaques malveillantes.
- La vulnérabilité repose sur des pratiques de programmation jugées insuffisantes par les experts.
- Un compromis de compte OpenAI pourrait permettre à un hacker de générer des frais considérables en un temps réduit.
Dans le contexte actuel, où les technologies d’IA continuent de se développer à un rythme rapide, la nécessité de régulations et de protections devient de plus en plus pressante. Comment les entreprises technologiques répondront-elles à cette vulnérabilité croissante, tout en continuant à innover dans leurs services ? La discussion est ouverte.
C’est fou comme une simple faille peut créer autant de chaos, non ? On dirait un scénario de film d’action ! Espérons que les entreprises prennent cela au sérieux.
Il est fascinant de voir comment une technologie aussi prometteuse que ChatGPT peut receler des vulnérabilités. La responsabilité des entreprises doit croître au fil de ces innovations.