Meta a corrigé un problème où il était possible de solliciter des invites et des réponses générées par l’IA à d’autres utilisateurs dans l’AI chatbot.
L’erreur a été rendue possible, car Meta AI permet aux utilisateurs connectés de modifier d’anciennes invites pour en générer de nouvelles. Un numéro unique est alors attribué à chaque requête.
C’est Sandeep Hodkasia, chercheur en sécurité et fondateur de la firme de sécurité AppSecure, qui l’a remarqué, comme il l’a déclaré à Techcrunch. En analysant le trafic réseau, il a pu déterminer comment modifier ce numéro unique pour lui permettre en tant qu’utilisateur d’accéder à l’invite de quelqu’un d’autre et aux réponses générées par l’IA.
Le bug a été signalé à Meta le 26 décembre dernier déjà. L’entreprise a alors déployé un correctif le 24 janvier de cette année. A ce que l’on sache, le bug n’a pas été activement abusé. Hodkasia a également reçu une prime (‘bug bounty’) de 10.000 dollars de Meta. L’entreprise confirme la présence du bug et aussi le fait qu’il n’a pas été activement exploité.
Plusieurs problèmes de confidentialité
Le problème rappelle que genAI est une technologie relativement récente et qu’en tant qu’utilisateur, vous ne savez pas comment ni où vos données sont traitées et stockées. Cela n’est pas catastrophique pour une question occasionnelle ou une image générée, mais le fait est que les utilisateurs partagent également des informations personnelles ou des questions intimes avec ce genre de systèmes. L’historique de chat de quelqu’un peut contenir des informations plus sensibles à cet égard que, par exemple, ses recherches sur Google.
Dans le cas de Meta, il convient d’ajouter que l’entreprise n’a jamais vraiment pris la confidentialité au sérieux. En plus de vingt ans d’existence, il ne se passe guère plus de six mois sans qu’un scandale de confidentialité ne survienne dans l’entreprise. Récemment encore, il est apparu que le concept même de l’appli Meta AI fait en sorte que les utilisateurs rendent publiques leurs conversations privées sans le vouloir.
Mais dans de nombreux cas, l’atteinte à la vie privée est aussi délibérée. Pensez par exemple aux chercheurs européens qui ont découvert le mois dernier que Meta espionnait le trafic des utilisateurs via l’appli Facebook. Il y a ainsi pas mal d’autres témoignages en circulation qui soulignent surtout l’importance de partager le moins d’informations personnelles possible avec les outils et systèmes de l’entreprise.