OpenAI a découvert une vulnérabilité dans un module externe de ses produits : la sécurité des données des utilisateurs n’est pas compromise

OpenAI signale une menace de sécurité identifiée et les mesures prises pour y remédier

OpenAI a annoncé avoir détecté une vulnérabilité potentielle dans le composant tiers Axios, utilisé dans plusieurs de ses applications. En conséquence, l’entreprise a dû prendre des mesures pour protéger le processus de certification des logiciels sur macOS.

- Absence de preuves d’une compromission

À ce jour, OpenAI n’a trouvé aucune confirmation que des attaquants aient accédé aux données utilisateurs, perturbé le fonctionnement des systèmes ou modifié les logiciels.

- Comment la vulnérabilité a été corrigée

L’entreprise a mis à jour ses certificats de sécurité et recommande vivement à tous les utilisateurs d’applications macOS de passer aux dernières versions. Cela aidera à éliminer le risque de diffusion de logiciels frauduleux.

- Nature de l’incident

Au début du mois de mars, la bibliothèque Axios a été compromise, et une variante malveillante a été téléchargée et exécutée dans le cadre du CI/CD via GitHub Actions. La version malveillante a obtenu accès aux certificats utilisés pour signer les applications ChatGPT Desktop, Codex, Codex‑cli et Atlas. L’analyse a montré que les certificats n’avaient pas été volés par le code malveillant.

- Problème des anciennes versions

Les applications de bureau OpenAI pour macOS publiées avant le 8 mars ne recevront plus de mises à jour ni de support. Cela peut entraîner une perte de fonctionnalité des programmes.

- Sécurité des clés

L’entreprise a souligné que les mots‑de‑passe et les clés API d’OpenAI sont restés protégés. La cause principale de l’incident était une mauvaise configuration de GitHub Actions, déjà corrigée.

Ainsi, OpenAI a terminé le travail de mitigation de la menace en mettant à jour les certificats et en invitant les utilisateurs à passer aux versions actuelles des applications macOS.