La sortie de ChatGPT sur Mac, via une application dédiée, avait un défaut : le stockage des conversations n’était pas bien sécurisé. Il était possible d’y accéder en clair. Une mise à jour a permis de régler le problème.
Depuis le mois de juin 2024, l’entreprise américaine OpenAI permet à toute sa clientèle sur Mac de récupérer une application macOS pour intégrer ChatGPT aux ordinateurs d’Apple. Cela, que les utilisateurs aient un accès gratuit ou payant à l’agent conversationnel. On peut même appeler le chatbot grâce à un raccourci clavier.
Mais il y avait, jusqu’à récemment, un souci : les contenus traités par l’application — c’est-à-dire les conversations avec le chatbot — n’étaient pas chiffrés pour empêcher leur accès par des outils tiers. La faiblesse avait été décelée ces derniers jours par un développeur, Pedro José Pereira Vieito, qui avait partagé des vidéos montrant ce défaut.
Un stockage en clair, et une mise à jour pour corriger le tir
C’est une découverte fortuite : l’intéressé voulait savoir de quelle manière l’application travaillait sur Mac et comprendre pourquoi OpenAI n’utilisait pas certaines protections de macOS, pour éviter les accès indésirables. En particulier, depuis macOS 10.14 (Mojave), le système d’exploitation d’Apple a renforcé l’accès à certaines données.
Il s’avère qu’OpenAI a choisi de stocker les conversations en texte clair dans un emplacement non protégé dans macOS. C’est désormais de l’histoire ancienne. Comme l’a appris The Verge début juillet, l’application pour macOS a été mise à jour pour stopper ce stockage en clair. Dorénavant, les conversations sont chiffrées.
Le risque était toutefois relativement modéré. Pour accéder à ces données en clair, il fallait déjà parvenir à créer un logiciel malveillant capable de trouver et exploiter ces données et, surtout, de réussir à l’envoyer sur un ordinateur cible, qu’il fasse son œuvre et ensuite envoie les informations en ligne vers le pirate. Pas mal d’obstacles, en somme.
Une porte-parole d’OpenAI a confirmé à nos confrères la résolution de cette faille. L’outil de démonstration conçu par le développeur, qui parvenait à récupérer les fichiers en clair depuis un dossier Mac (à l’adresse ~/Library/Application\ Support/com.openai.chat/conversations{uuid}/) ne fonctionne plus depuis la sortie du correctif.
KABDEL MEDIA
