OpenAI a subi une attaque sur la chaîne d'approvisionnement logicielle : la bibliothèque open source Axios a été empoisonnée et certaines applications macOS ont été affectées

Vendredi, le géant de l'intelligence artificielle OpenAI a révélé un incident de sécurité, affirmant que ses outils internes avaient téléchargé des mises à jour de bibliothèques de logiciels open source légitimes qui avaient été falsifiées de manière malveillante. Selon Google, cette campagne de piratage à grande échelle est étroitement liée à un groupe de hackers nord-coréens.

OpenAI a détaillé la situation dans un article de blog publié vendredi soir. Le 31 mars, des pirates ont détourné le compte d'un développeur et publié deux mises à jour compromises d'Axios, une bibliothèque de requêtes HTTP JavaScript largement utilisée (remarque : cette bibliothèque n'est pas affiliée au média Axios). La mise à jour malveillante a malheureusement été téléchargée par le workflow GitHub d'OpenAI utilisé pour signer les certificats des applications MacOS avant la découverte de l'anomalie.

La société a noté que les utilisateurs d'applications MacOS, notamment ChatGPT, Atlas et Codex, pourraient être affectés par l'incident. La menace potentielle de cette attaque est qu'une fois que les pirates ont accès au système et volé les certificats pertinents, ils peuvent créer de fausses applications OpenAI avec des certificats back-end légitimes. Ces fausses applications sont suffisamment trompeuses pour faire croire à l’appareil et à l’App Store d’Apple qu’elles sont officielles.

Malgré le risque potentiel élevé, OpenAI a clairement indiqué qu'elle n'avait trouvé aucun cas réel de pirates informatiques utilisant des certificats volés pour publier de fausses applications, et il n'y a aucune preuve que les données personnelles des utilisateurs, la propriété intellectuelle de l'entreprise ou les systèmes de base internes aient été compromis. De plus, il n’y a actuellement aucun signe d’être affecté par les applications sur iOS, Android, Windows et d’autres plateformes.

Les analystes du secteur estiment que cet incident met en évidence un nouveau statu quo en matière de sécurité : les sociétés d'intelligence artificielle d'aujourd'hui sont non seulement confrontées à des menaces spécifiques à la technologie de l'IA, mais sont également devenues les principales cibles des attaques traditionnelles de la chaîne d'approvisionnement logicielle.

Pour des raisons de sécurité et de prudence, OpenAI a annoncé qu'elle cesserait officiellement de prendre en charge les anciennes versions des applications MacOS le 8 mai. La société offre aux utilisateurs une fenêtre de mise à jour de 30 jours. Si elle n'est pas mise à jour avant la date d'expiration, l'ancienne version de l'application peut être bloquée pour les nouveaux téléchargements et les premiers lancements car les certificats concernés seront révoqués. Actuellement, cet incident de sécurité est toujours suivi et développé.