Selon un rapport publié par Le registrele robot d’exploration ChatGPT d’OpenAI serait vulnérable à la manipulation, ce qui lui permettrait de lancer potentiellement des attaques par déni de service distribué (DDoS) sur des sites Web arbitraires. Ce problème n’est toujours pas reconnu par l’entreprise technologique.
L’API ChatGPT d’OpenAI montre sa vulnérabilité aux attaques DDoS
Un article du chercheur en sécurité Benjamin Flesch, commun ce mois-ci via le GitHub de Microsoft, détaille comment une seule requête HTTP à l’API ChatGPT peut déclencher un flot de requêtes réseau de la part du robot d’exploration ChatGPT, en particulier le ChatGPT-Utilisateur agent. Cette vulnérabilité pourrait amplifier une requête API en jusqu’à 5 000 requêtes dirigées vers un site Web ciblé chaque seconde.
Flesch décrit la faille comme un « grave défaut de qualité » dans le traitement des requêtes HTTP POST vers un point de terminaison d’API spécifique appelé par ChatGPT d’OpenAI. Ce point de terminaison est utilisé pour renvoyer des informations sur les sources Web citées dans la sortie du chatbot. Lorsque le chatbot fait référence à des URL spécifiques, l’API d’attribution récupère les informations de ces sites. Un attaquant peut créer une longue liste d’URL, chacune légèrement différente mais pointant vers le même site, ce qui entraîne des requêtes simultanées vers ce site.
Selon Flesch, l’API ne vérifie pas si les hyperliens sont répétés dans la liste et n’impose pas de limite au nombre total d’hyperliens soumis. Cela permet à un attaquant d’envoyer des milliers d’hyperliens dans une seule requête HTTP, inondant ainsi le site Web cible.
À l’aide d’un outil tel que Curl, les attaquants peuvent soumettre une requête HTTP POST au point de terminaison ChatGPT sans avoir besoin d’un jeton d’authentification. Les serveurs d’OpenAI sur Microsoft Azure répondront en lançant des requêtes pour chaque lien hypertexte envoyé via le paramètre de requête. Cette action peut submerger le site Web ciblé, car le robot d’exploration, utilisant Cloudflare, accédera au site à partir de différentes adresses IP à chaque requête.
Meilleures pratiques pour préparer votre organisation aux incidents de cybersécurité
Le site victime recevrait probablement simultanément des requêtes provenant d’environ 20 adresses IP différentes, ce qui rendrait difficile la traçabilité de la source de l’attaque. Même si un site Web active un pare-feu pour bloquer les adresses IP associées au bot ChatGPT, le bot continuera à envoyer des requêtes.
« Grâce à cette amplification, l’attaquant peut envoyer un petit nombre de requêtes à l’API ChatGPT, mais la victime recevra un très grand nombre de requêtes », a expliqué Flesch.
Flesch a signalé la vulnérabilité DDoS réfléchissante non authentifiée via plusieurs canaux, notamment la plateforme OpenAI BugCrowd et les équipes de sécurité de Microsoft, mais n’a reçu aucune réponse. Le registre a également contacté OpenAI pour obtenir des commentaires, mais n’a pas reçu de réponse.
De plus, Flesch a souligné un autre problème lié à cette API, qui est vulnérable à une injection rapide. Cette faille permet au robot d’exploration de traiter des questions arbitraires en utilisant le même point de terminaison de l’API d’attribution, plutôt que de récupérer uniquement les données du site Web comme prévu.
Flesch a critiqué OpenAI pour ne pas avoir mis en œuvre des mesures de sécurité de base, telles que la déduplication des URL ou la limitation de la taille des listes d’URL. Il a émis l’hypothèse que l’API pourrait être un projet expérimental pour les agents d’IA d’OpenAI, dépourvu de la logique de validation nécessaire pour empêcher ce type d’abus. Il a noté que les normes établies en matière de développement de logiciels préviennent généralement de telles failles afin de garantir des performances robustes.
« Je ne peux pas imaginer un ingénieur bien payé de la Silicon Valley concevoir un logiciel comme celui-ci, car le robot d’exploration ChatGPT explore le Web depuis de nombreuses années, tout comme le robot d’exploration de Google », a déclaré Flesch. « Si les robots d’exploration ne limitent pas le nombre de requêtes au même site Web, ils seront immédiatement bloqués. »
Crédit image en vedette : Matheus Bertelli/Pexels
