Près de 100 000 chats ChatGPT exposés sur Google Search – Données sensibles en ligne
Une faille de confidentialité significative a été mise en lumière, révélant que près de 100 000 conversations menées sur ChatGPT d’OpenAI ont été indexées par Google et d’autres moteurs de recherche, les rendant publiquement consultables. Cette exposition, initialement rapportée par Fast Company et détaillée par 404Media.co, provenait d’une “fonction de partage” conçue pour permettre aux utilisateurs de générer des liens vers leurs conversations, ce qui a involontairement exposé des données personnelles et professionnelles sensibles sur le web ouvert.
Le problème est apparu à cause d’une case à cocher “Rendre ce chat découvrable” présentée aux utilisateurs lorsqu’ils choisissaient de partager une conversation ChatGPT. Bien que la fonctionnalité incluait une mention en petits caractères indiquant que le chat pourrait apparaître dans les résultats de recherche, de nombreux utilisateurs auraient cliqué sur cette option sans comprendre pleinement les implications d’une exposition publique. Le résultat fut un vaste ensemble de données de conversations, récupérées par un chercheur, qu’OpenAI n’a pas contesté être d’environ 100 000 chats indexés.
Les données exposées sont étonnamment diverses et sensibles. Elles incluent des textes présumés d’accords de non-divulgation, des discussions de contrats confidentiels, des problèmes de relations profondément personnels, des confessions de santé mentale, des griefs professionnels, des détails sur la consommation de drogues et la vie sexuelle, et même des candidatures. Certains chats indexés contenaient des noms complets, des localisations, des informations de contact, des titres de poste, des noms d’entreprise et des processus internes, transformant des échanges privés en mines d’or potentielles d’intelligence de source ouverte (OSINT) pour des acteurs malveillants ou des concurrents.
En réponse à l’inquiétude généralisée et à l’attention des médias, le responsable de la sécurité de l’information (CISO) d’OpenAI, Dane Stuckey, a annoncé sur X (anciennement Twitter) que la société avait entièrement supprimé la “fonctionnalité de découvrabilité”. OpenAI l’a décrite comme une “expérience de courte durée” destinée à aider les utilisateurs à découvrir des conversations utiles. La société travaille maintenant avec les moteurs de recherche pour désindexer les chats partagés, bien qu’elle ait reconnu que les versions mises en cache pourraient rester visibles pendant un certain temps.
Cet incident souligne les défis critiques en matière de gouvernance de l’IA et d’hygiène des données à mesure que les outils d’IA générative s’intègrent de plus en plus dans les flux de travail quotidiens. Il met en évidence l’importance primordiale d’une conception d’interface utilisateur claire et non ambiguë et de paramètres de confidentialité robustes pour prévenir l’exposition involontaire de données. La réponse rapide d’OpenAI, retirant la fonctionnalité quelques heures après la réaction, suggère une reconnaissance de la gravité de la violation de la confiance des utilisateurs.
Pour les utilisateurs préoccupés par leurs données, il est conseillé de vérifier si l’une de leurs conversations a été indexée en effectuant une recherche Google utilisant “site:chatgpt.com/share” suivi de leur nom ou de termes uniques de leurs chats. Les utilisateurs peuvent supprimer tous les liens partagés qu’ils ne souhaitent plus rendre publics en naviguant vers leurs paramètres ChatGPT, puis “Contrôles des données”, et enfin “Liens partagés”. De plus, l’incident sert de rappel brutal d’exercer la prudence lors du partage de toute information sensible avec les chatbots d’IA, en traitant de telles interactions comme des enregistrements numériques potentiellement permanents.