Incidents associés
Meta a corrigé une faille de sécurité qui permettait aux utilisateurs du chatbot Meta AI d'accéder aux messages privés et aux réponses générées par l'IA d'autres utilisateurs et de les consulter.
Sandeep Hodkasia, fondateur de la société de tests de sécurité AppSecure, a confié en exclusivité à TechCrunch que Meta lui avait versé 10 000 $ de prime de bug pour avoir divulgué en privé le bug qu'il avait signalé le 26 décembre 2024.
Meta a déployé un correctif le 24 janvier 2025, a déclaré Hodkasia, et n'a trouvé aucune preuve d'exploitation malveillante du bug.
Hodkasia a expliqué à TechCrunch avoir identifié le bug après avoir examiné comment Meta AI permet à ses utilisateurs connectés de modifier leurs messages IA pour régénérer le texte et les images. Il a découvert que lorsqu'un utilisateur modifie son message, les serveurs back-end de Meta attribuent un numéro unique à ce message et à sa réponse générée par l'IA. En analysant le trafic réseau de son navigateur tout en modifiant une invite IA, Hodkasia a découvert qu'il pouvait modifier ce numéro unique et que les serveurs de Meta renvoyaient une invite et une réponse générées par l'IA provenant d'un autre utilisateur.
Ce bug impliquait que les serveurs de Meta ne vérifiaient pas correctement que l'utilisateur demandant l'invite et sa réponse était autorisé à les consulter. Hodkasia a déclaré que les numéros d'invite générés par les serveurs de Meta étaient « facilement devinables », ce qui permettait potentiellement à un acteur malveillant de récupérer les invites originales des utilisateurs en les modifiant rapidement à l'aide d'outils automatisés.
Contacté par TechCrunch, Meta a confirmé avoir corrigé le bug en janvier et que l'entreprise « n'avait trouvé aucune preuve d'abus et avait récompensé le chercheur », a déclaré Ryan Daniels, porte-parole de Meta, à TechCrunch.
L'annonce de ce bug survient à un moment où les géants de la technologie s'efforcent de lancer et d'affiner leurs produits d'IA, malgré les nombreux risques de sécurité et de confidentialité liés à leur utilisation. L'application autonome de Meta AI, qui a fait ses débuts plus tôt cette année pour concurrencer des applications rivales comme ChatGPT, a connu un démarrage difficile après que certains utilisateurs ont par inadvertance partagé publiquement ce qu'ils pensaient être des conversations privées avec le chatbot.