De Google à Microsoft, on ne compte plus les éditeurs qui mettent en place leurs programmes de récompenses de chasse aux bugs et vulnérabilités. Dernier en date à se lancer, OpenAI à l'origine de plusieurs IA génératives dont l'agent conversationnel Chat-GPT basé sur le grand modèle de langage (LLM) GPT ou encore du générateur d'images Dall-E. L'éditeur, qui indique - on s'en serait douté - investir « massivement » dans la recherche et l'ingénierie pour s'assurer que ses systèmes IA soient sûrs et sécurisés, a ainsi ouvert un bug bounty en s'appuyant sur la plateforme Bugcrowd.
« Comme pour toute technologie complexe, nous comprenons que des vulnérabilités et des failles peuvent apparaître. Nous pensons que la transparence et la collaboration sont essentielles pour faire face à cette réalité. C'est pourquoi nous invitons la communauté mondiale des chercheurs en sécurité, des hackers éthiques et des passionnés de technologie à nous aider à identifier et à corriger les vulnérabilités de nos systèmes », explique OpenAI. Le périmètre des failles à trouver concerne notamment les API, ChatGPT, les informations confidentielles exposées via des tiers (Google Workspace, Trello, Zendesk, Tableau, etc.)...
De 200 à 20 000 dollars de primes
Les récompenses versées varient en fonction des impacts et des problèmes signalés, de 200 dollars (faible gravité) jusqu'à 20 000 dollars dans le cas de « découvertes exceptionnelles ». A date, 14 découvertes de vulnérabilités ont déjà fait l'objet d'un paiement pour un montant moyen versé de près de 1 300 $ et un temps de réponse globalement de 3 heures. Dans le cadre de son programme de bug bounty, OpenAI a mis en place des règles à respecter incluant le fait de garder les détails de la vulnérabilité confidentiels jusqu'à ce que son équipe en autorise la publication. L'objectif étant de donner l'autorisation de divulgation dans les 90 jours suivant la réception du rapport. Un délai communément appliqué chez d'autres plateformes et fournisseurs.
Bonjour, je m'étonne que cette méthode de piratage soit présentée comme une nouveauté. En effet, la sous-direction de la protection économique de la DGSI lors de ses conférences de sensibilisation mettait déjà en garde contre ce modus opérandi il y a au moins dix ans, j'y ai assisté! Le FBI n'a rien découvert et semble faire de la com à peu de frais...
Signaler un abus