Vendredi, OpenAI a déclaré avoir découvert un problème de sécurité lié à Axios, une bibliothèque de développeurs tierce, et a pris des mesures pour renforcer la manière dont ses applications macOS sont vérifiées afin d’empêcher tout logiciel imposteur de se faire passer pour des versions officielles.
La divulgation de cette information survient alors que les risques en matière de sécurité physique ont également augmenté autour de la société, après que les allégations d’une attaque au cocktail Molotov ont conduit la police de San Francisco à arrêter un suspect de 20 ans suite à un incident survenu tôt le matin près du domicile du PDG d’OpenAI, Sam Altman, et des menaces signalées près du siège de la société.
Reuters a rapporté qu’OpenAI avait déclaré qu’il n’y avait aucun signe indiquant que les informations des clients avaient été consultées, que son environnement interne ou sa propriété intellectuelle avait été violés, ou que sa base de code avait été modifiée.
Dans le cas de San Francisco, la police a indiqué que les officiers avaient été appelés vers 4h12 du matin pour signaler qu’un engin incendiaire avait été lancé sur une résidence, et que le suspect s’était enfui avant d’être arrêté environ une heure plus tard après un autre appel concernant une personne menaçant d’incendier un autre bâtiment.
Ce que révèle la faille de sécurité d’OpenAI
Selon le rapport, OpenAI met à jour ses informations d’identification de sécurité et exige que les utilisateurs de Mac mettent à niveau vers les dernières versions des applications.
L’entreprise a également fixé une date limite : à partir du 8 mai, les anciennes versions de son logiciel de bureau macOS perdront leurs mises à jour et leur support, et pourraient cesser de fonctionner.
Cette initiative de renforcement des logiciels intervient alors qu’OpenAI a dû faire face à des critiques liées à un accord annoncé impliquant l’utilisation de ses outils par le gouvernement américain dans des conditions militaires classifiées.
Altman, dans un article de blog après l’allégation d’attentat à la bombe incendiaire, a déclaré : “Une grande partie des critiques adressées à notre industrie sont le fruit d’une sincère préoccupation concernant les enjeux incroyablement élevés de cette technologie”.
Déroulement d’une attaque sur la chaîne d’approvisionnement
OpenAI a déclaré qu’Axios avait été altéré le 31 mars dans le cadre d’une campagne plus large menée par la chaîne d’approvisionnement logicielle et que la société pense qu’elle est liée à des acteurs nord-coréens.
La société a déclaré que la faille avait provoqué un flux de travail GitHub Actions pour tirer et exécuter une version malveillante d’Axios, et que ce flux de travail pourrait atteindre les certificats et les documents de notarisation utilisés pour signer les applications macOS.
Le journal rapporte qu’une enquête interne d’OpenAI a révélé que le certificat de signature du workflow était très probablement resté intact malgré l’attaque malveillante.
OpenAI a également déclaré que les mots de passe et les clés API OpenAI n’avaient pas été affectés.
Lors de l’arrestation à San Francisco, les autorités ont déclaré que les preuves liaient le suspect à la fois à l’incident présumé du cocktail Molotov et aux menaces ultérieures, et la police n’a fait état d’aucune blessure.
Les améliorations en matière de cybersécurité alimentent les aspirations en matière de revenus
Cette récente amélioration de la sécurité intervient alors qu’OpenAI s’est fixé des objectifs ambitieux pour ses revenus publicitaires, en projetant 2,5 milliards de dollars cette année et en visant un chiffre stupéfiant de 100 milliards de dollars d’ici 2030. Ces projections ont été présentées aux investisseurs, mettant en lumière la stratégie de la société visant à tirer parti de ses capacités d’IA en matière de ciblage publicitaire, un élément de plus en plus critique dans un marché dominé par des géants de la technologie tels que Google et Meta.
De plus, OpenAI serait en train de finaliser un modèle doté de fonctionnalités de cybersécurité améliorées dans le cadre de son programme « Trusted Access for Cyber », qu’il prévoit de déployer auprès d’un groupe d’entreprises sélectionnées, ce qui reflète son engagement à répondre aux préoccupations en matière de sécurité parallèlement à sa trajectoire de croissance. Cet accent mis sur la sécurité est particulièrement pertinent compte tenu des récents incidents entourant la société.
Pourquoi une réponse rapide est cruciale pour les entreprises technologiques
OpenAI a confirmé qu’il coopérait avec les forces de l’ordre dans l’affaire Altman, et un porte-parole a déclaré à Reuters : “Heureusement, personne n’a été blessé. Nous apprécions profondément la rapidité de la réponse du SFPD et le soutien de la ville dans le cadre de la protection de nos employés”, tout en ajoutant que la société aidait les enquêteurs.
Altman a également demandé à ce que le ton du débat autour de l’intelligence artificielle soit adouci, en écrivant : “Alors que nous menons ce débat, nous devrions désamorcer la rhétorique et les tactiques et essayer d’avoir moins d’explosions dans moins de maisons, au sens figuré comme au sens propre”,
Côté produit, la mise à jour macOS d’OpenAI transforme effectivement le patching en un gardien de la légitimité des applications, visant à réduire les risques qu’une version contrefaite puisse circuler avec une signature crédible.
La société a présenté ce mouvement comme une mesure préventive liée à la manière dont ses applications macOS sont certifiées, plutôt que comme une réponse au vol confirmé de données d’utilisateurs.