Incidents associés
Meta aurait corrigé une faille de sécurité importante dans sa plateforme de chatbot IA, qui aurait pu exposer les conversations privées des utilisateurs et le contenu généré par l'IA à des pirates informatiques. Le problème a été signalé par le hacker éthique Sandeep Hodkasia, fondateur de la société de sécurité AppSecure. Hodkasia a signalé la vulnérabilité à Meta le 26 décembre 2024 et a reçu une prime de 10 000 $ (environ 850 000 roupies) pour avoir divulgué le bug de manière confidentielle.
Selon TechCrunch, Hodkasia a découvert un bug dans la plateforme d'IA de Meta, lié à la gestion de la fonctionnalité d'édition des messages. Lorsque les utilisateurs interagissent avec l'IA de Meta, ils peuvent modifier ou régénérer leurs messages précédents. Chaque message et sa réponse générée par l'IA se voient attribuer un numéro d'identification unique (ID) par les serveurs de Meta. Hodkasia a constaté que ces ID étaient non seulement visibles via les outils du navigateur, mais aussi facilement devinables.
Hodkasia a expliqué qu'en modifiant manuellement l'identifiant dans le panneau d'activité réseau de son navigateur, il pouvait accéder aux messages privés d'autres utilisateurs et aux réponses générées par l'IA. Le véritable problème, a-t-il souligné, résidait dans le fait que le système de Meta ne vérifiait pas si la personne demandant à consulter le contenu en était bien l'auteur. Cela signifiait que n'importe quel pirate aurait pu écrire un simple script pour parcourir automatiquement les identifiants et collecter d'importantes quantités de contenu sensible auprès d'autres utilisateurs sans leur autorisation.
Hodkasia a révélé que c'était cette simplicité de la structure des identifiants qui rendait l'exploitation de cette faille extrêmement facile pour toute personne possédant des compétences techniques de base. La vulnérabilité contournait ainsi tous les contrôles d'accès spécifiques à l'utilisateur, exposant les interactions privées de l'IA à des personnes malveillantes.
Suite à la découverte de Hodkasia, Meta a corrigé le problème en déployant un correctif le 24 janvier 2025 et a confirmé à TechCrunch que son enquête interne n'avait révélé aucune preuve d'utilisation abusive ou d'exploitation de ce bug.
Bien que le problème ait été résolu, cet incident a également soulevé des inquiétudes quant à la sécurité et à la confidentialité des chatbots IA, d'autant plus que les entreprises s'empressent de développer et de lancer des produits basés sur l'IA pour rester compétitives. Meta a également lancé son assistant IA et son application dédiée en début d'année pour concurrencer des rivaux comme ChatGPT. Cependant, ces derniers mois, la plateforme d'IA a été critiquée pour plusieurs autres manquements à la confidentialité. Certains utilisateurs ont signalé que leurs conversations avec l'IA étaient visibles publiquement, alors qu'ils les pensaient privées.
De nombreux utilisateurs ont signalé que leurs propres publications ou les conversations privées d'autres utilisateurs apparaissaient dans le flux Discovery public de Meta AI. Cela a soulevé de graves préoccupations en matière de confidentialité. Bien que Meta affirme que les conversations sont privées par défaut et ne deviennent publiques que si les utilisateurs les partagent explicitement, ces derniers ont constaté que les paramètres confus et les avertissements vagues de l'application ont fait que de nombreuses personnes ignoraient que leurs photos personnelles ou les messages adressés à Meta AI pouvaient se retrouver visibles par d'autres.