OpenAI a récemment lancé une application officielle ChatGPT pour macOS, qui est également la première application ChatGPT pour une plate-forme de bureau. Bien qu’avoir une application facilite le processus de conversation avec le chatbot, certains utilisateurs ont soulevé des problèmes de confidentialité. En effet, l’application stocke toutes les conversations en texte brut, ce qui peut exposer des données utilisateur sensibles.
Comme l’a souligné le développeur Pedro Vieito dans un article sur Threads, l’application officielle ChatGPT pour Mac n’utilise pas le système sandbox standard de macOS. En examinant les fichiers de préférences et de cache stockés par l’application, Vieito a remarqué que toutes les conversations enregistrées dans l’application sont conservées en texte brut, ce qui permet à tout le monde d’accéder facilement à ces données.
Mais qu’est-ce que tout cela signifie exactement et pourquoi l’application ChatGPT n’est-elle pas sandboxée ?
Confidentialité et applications sandbox sur macOS
Pour ceux qui ne le savent pas, le « sandboxing » est un système de contrôle de sécurité qui exécute une application et toutes ses données dans un environnement isolé. De cette façon, l’application ne peut pas accéder à d’autres parties du système sans autorisation, tout comme les autres applications ne peuvent pas lire facilement les données d’une application sandboxée.
Sur iOS, toutes les applications tierces fonctionnent sous un sandbox. Mais sur Mac, ce système n’a été implémenté qu’avec OS X Lion en 2011. Des années plus tard, avec macOS Mojave, Apple a ajouté de nouvelles couches de sécurité afin que les applications demandent toujours l’autorisation de l’utilisateur pour accéder aux données en dehors de leur sandbox.
Cependant, même si l’exécution d’une application dans un sandbox rend tout plus sûr, ce système reste facultatif sur macOS car certaines applications plus complexes nécessitent un accès complet au disque. Et il existe de nombreuses applications macOS qui ne sont pas sandboxées. Cependant, lorsqu’il s’agit d’applications de chat qui gèrent des données sensibles, la plupart d’entre elles sont sandboxées.
Mais quelles sont les implications pour les utilisateurs ?
Lire les conversations ChatGPT sans consentement est assez facile
Tout le monde peut retrouver les conversations de l’application ChatGPT en allant dans Bibliothèque > Support des applications > com.openai.chat. Et comme les conversations sont stockées en dehors d’un sandbox et en texte brut, cela signifie également que d’autres applications, processus ou même programmes malveillants exécutés sur le Mac peuvent y accéder, sans que l’utilisateur ne le sache.
Netcost-security.fr a pu confirmer que les conversations ChatGPT sont stockées en texte brut. Nous avons également créé un outil pour collecter les données de l’application ChatGPT en un seul clic, et cela fonctionne sans demander aucune autorisation.
Bien entendu, les politiques de confidentialité d’OpenAI précisent clairement que toutes vos conversations avec ChatGPT peuvent être collectées par l’entreprise pour améliorer son modèle linguistique. C’est en soi une bonne raison de ne jamais partager de données sensibles avec ChatGPT. Mais savoir que ces données pourraient se retrouver entre les mains de n’importe qui rend les choses encore pires.
Nous aimerions croire qu’OpenAI a simplement fait une erreur en ne sandboxant pas l’application ChatGPT. Mais pour l’instant, OpenAI n’a pas encore commenté les inquiétudes des utilisateurs.
Et si vous êtes vraiment préoccupé par la confidentialité, un bon moyen de protéger vos données sur macOS est de télécharger uniquement des applications depuis le Mac App Store ou de vérifier si une application téléchargée depuis une source externe s’exécute dans un sandbox.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
