Des employés de Samsung partagent des données sensibles à ChatGPT

Félix Cattafesta |

Des employés de Samsung ont diffusé des informations confidentielles à ChatGPT, un manque de prudence qui remet sur la table la question de la gestion des données par OpenAI. Le site coréen Economist rapporte que plusieurs salariés de la branche dédiée aux semi-conducteurs de Samsung ont fait appel au bot pour traiter des informations internes. Or, ChatGPT garde tout en mémoire et utilise les conversations pour s'améliorer : ces informations privées sont donc désormais entre les mains d'OpenAI.

Avertissement au lancement de ChatGPT.

Les règles d'OpenAI sont pourtant claires. La FAQ de ChatGPT confirme que les conversations seront utilisées pour l'entraînement de l'IA et que les discussions peuvent être surveillées. Elle précise également que l'entreprise n'a pas la possibilité de supprimer les requêtes envoyées par l'utilisateur. Au démarrage, le bot invite noir sur blanc à ne pas partager de données sensibles dans ses échanges.

Malgré cela, un employé de Samsung a copié le code source d'un logiciel identifiant les rendements de puces défectueux dans ChatGPT et lui a demandé de l'aider à trouver une solution. Un second a ordonné au bot de convertir des notes d'une réunion interne en une présentation. Un troisième a partagé le code d'un programme maison et a invité le bot à l'optimiser.

Pour tenter de répondre au problème, Samsung a limité le nombre de caractères maximum pour les questions posées à ChatGPT et a menacé de bloquer l'IA sur son réseau. En coulisse, l'entreprise envisagerait le développement de son propre modèle textuel, qui serait réservé aux employés.

Ce problème d'employés un peu trop imprudents ne touche pas que Samsung. Son concurrent SK Hynix aurait bloqué l'utilisation de ce type de chatbots sur son réseau interne, imposant une autorisation spécifique aux employés. LG Display aurait lancé des campagnes éducatives pour faire prendre conscience à son personnel des potentiels risques de confidentialité.

Une étude récente de Cyberhaven (une entreprise spécialisée dans la cybersécurité) a montré que 3,1 % de ses clients qui utilisaient l'IA avaient divulgué des données vulnérables de leur entreprise à ChatGPT à un moment donné. Une entreprise de 100 000 employés pourrait transmettre des informations sensibles à OpenAI des centaines de fois par semaine.


Tags
avatar Powerdom | 

Ce n’est que le début…

avatar Vetsa | 

@Powerdom

Pour ma part, je dirais plutôt que ce ne sont pas que les cas rendus publics. Ou que les médias auraient eu vent…. Beaucoup de cas je pense seront passés sous silence par leurs auteurs.

avatar Scooby-Doo | 

@Powerdom,

« Ce n’est que le début… »

👍

« Une entreprise de 100 000 employés pourrait transmettre des informations sensibles à OpenAI des centaines de fois par semaine. »

Le problème est que certains employés préfèrent utiliser une IA plutôt que de réellement bosser et réfléchir par eux-mêmes ou en petit comité !

C'est le résultat de 20 ans de Google qui trouve tout à notre place. Certains ont pris de mauvaises habitudes.

De toutes les façons, Alphabet, Meta et Microsoft en savent déjà beaucoup ! Mais ce n'est pas une excuse pour filer les clefs du coffre-fort !

👌

avatar monsieurg33K | 

« Elle précise également que l'entreprise n'a pas la possibilité de supprimer les requêtes envoyées par l'utilisateur. » >>> c’est pas contraire au RGPD?

avatar r e m y | 

Ça fait partie des points non conformes au RGPD (il y en a un certain nombre...) que l'Italie et l'Allemagne reprochent à ChatGPT et justifie l'interdiction sur leurs territoires.

avatar Scooby-Doo | 

@monsieurg33K,

« C’est pas contraire au RGPD ? »

À mon humble avis : oui c'est contraire au RGPD.

Pourtant il y a plusieurs panneaux d'avertissements pour expliquer comment utiliser cette IA. Cela n'excuse pas la non conformité du service au RGPD !

Bref, il suffit que l'Italie et l'Allemagne bloque ChatGPT pour que cela bouge dans les faits.

Le marché du VPN va juste exploser !

😁

avatar andmag | 

La continuation de la délégation de notre vie privée a des tiers rapides et inhumains au sens strict du terme !

avatar Scooby-Doo | 

@andmag,

« La continuation de la délégation de notre vie privée a des tiers rapides et inhumains au sens strict du terme ! »

Votre affirmation serait exacte si ChatGPT utilisait uniquement Sydney. Malheureusement ce n'est pas le cas. ChatGPT repose aussi sur Kenya !

Du coup votre affirmation est partiellement fausse ! C'est expliqué en partie dans l'article !

👌

avatar raoolito | 

ok mais du coup quid du chat gpt intégré à office, teams ou skype? parce que si on ne peut l’utiliser en entreprise que pour parler des chaussettes du patron ca relativise grandement l’intérêt !

avatar bozzo | 

Aller un peu de sociologie. J’aime bien !
Ça s’appelle l’inconséquence. Les êtres humains en sont friands…
C’est pourtant pas très compliqué mais peut-être est-ce lié à une certaine paresse ? La paresse de réfléchir ?
Ou peut-être aussi à ce qu’on appelle couramment la politique de l’autruche ? Ne pas vouloir voir ce qui est pourtant aussi visible que le nez au milieu de la figure.
Encore, s’il s’agissait de Mme Michu.
Mais là il s’agit de développeurs, des gens qui sont tout de même à priori susceptibles de savoir un peu comment fonctionne ChatGPT…
Ceci dit les exemples d’inconséquence sont légions, dans l’actualité.
Les conséquences de nos actes ne manqueront pas de venir, si par exemple on achète de l’énergie à un pays belliqueux, si on insulte son patron, si on vote pour des gens qui grignotent les limites, si on traite comme une m…. le père ou la mère de ses enfants, si on conduit comme un sauvage, si on partage du code avec une intelligence artificielle, … la liste est longue…

avatar marc_os | 

@ bozzo

> Ça s’appelle l’inconséquence.

Sur le coup j'avais lu "incompétence".
Ça l'est aussi je pense.
Ça me rappelle ces stagiaires friands d'Internet pour trouver des solutions à leur tâche du jour. Chercher sur Internet ce n'est pas un problème en soi, le problème c'est de retrouver dans du code des trucs copiés/collés n'importe comment par ces stagiaires qui on juste réutilisé ce qu'ils avaient trouvé sans chercher à comprendre. Des feignasses.
J'espère que ces pseudo développeurs qui ont demandé à ChatGPT de faire leur travail à leur place, qui plus est donc en divulguant des données sensibles, seront sanctionnés pour faute grave.

avatar Pyby | 

@bozzo

Ils me semblent que devs de l’article sont en Corée du Sud chez Samsung, pas en Europe.
Les devs d’OpenAI sont aux USA, pas en Europe.

🙃🙂 l’Europe est une très belle réalisation pour tenter de mettre des règles communes entre pays qui ne parlent pas la même la langues.
Pour chatGPT, apparement, c’est l’Italie et l’Allemagne qui sont les plus réactifs. La pression va remonter gentiment à Bruxelles et openAI va devoir s’adapter.

Les devs ne connaissent pas tout en informatique 🙃 chatGPT et Copilot sont tentants pour « gagner du temps ». L’insouciance n’est plus très loin dans ce cas.

avatar r e m y | 

Toujours plus fort...
ChatGPT crée un malware redoutable et indétectable 🥴
https://www.tomsguide.fr/chatgpt-fabrique-un-malware-redoutable-et-indetectable-un-chercheur-donne-lalerte/

avatar bozzo | 

@r e m y

Les ennuis sont devant nous…

avatar Scooby-Doo | 

@bozzo,

« Les ennuis sont devant nous… »

Clairement ! D'autant plus que certains minimisent à longueur de forum l'efficacité de ces IA ! Au pire un gadget qui va faire pschitt, au mieux un système complètement stupide !

Certains vont avoir un réveil douloureux il me semble !

👌

avatar Scooby-Doo | 

@r e m y,

Merci pour l'article très intéressant !

J'ai bien aimé deux passages en particulier :

1. « Dénué d’expérience dans le développement de malwares, Aaron Mulgrew est parvenu à guider ChatGPT avec plusieurs invites simples, contournant les protections mises en place par OpenAI. Au lieu de lui demander de but en blanc de créer un malware (chose que ChatGPT aurait refusé), il a segmenté la création en lui soumettant des requêtes à l’apparence inoffensive. Le programme malveillant a donc été créé fonction par fonction. »

2. « En utilisant simplement les invites ChatGPT et sans écrire de lignes de code, nous avons pu mettre au point une attaque très avancée en quelques heures seulement. Sans chatbot basé sur l’IA, cela aurait pris plusieurs semaines à une équipe de 5 à 10 développeurs de logiciels malveillants, en particulier pour échapper aux antivirus, estime Aaron Mulgrew. »

Source: Tom's guide FR

https://www.tomsguide.fr/chatgpt-fabrique-un-malware-redoutable-et-indetectable-un-chercheur-donne-lalerte/

C'est là où l'on voit la différence d'approche entre les deux sites !

Sur Tomsguide.fr, ils prennent vraiment au sérieux le potentiel de ces IA, y compris de manière malveillante.

Sur macg.co, les auteurs en ont aussi pleinement conscience ! Le problème se passe au niveau des commentaires ! Beaucoup trop présentant ces IA comme complètement stupide, inutilisable ou répondant à côté de la plaque !

Alors que si vous posez les bonnes questions, vous pouvez obtenir exactement ce que vous voulez dans des temps records.

Certains comprendront celà, d'autres persisteront dans le déni et le ridicule !

Ces IA sont à prendre vraiment au sérieux. Bien utilisées, ce sera un formidable outil. Mais comme toujours, l'humain peut être autant créatif que destructif.

Je le répète, ces IA ne sont pas des perroquets savants ! Ce sont des miroirs ! Et si elles sont capables de nous renvoyer cette image fidèle de nous même, elles peuvent aussi la conserver voire la partager avec d'autres.

👌

avatar frg | 

Qu’est ce qu’elles ont mes chaussettes ?

avatar Scooby-Doo | 

@frg,

« Qu’est ce qu’elles ont mes chaussettes ? »

Mais elles sont très bien vos chaussettes !

😁

avatar frankm | 

"un manque de prudence qui remet sur la table la question de la gestion des données par OpenAI"
A mon avis il y a une condition à valider qui dit que tout ce qu'on envoie à ChatGPT appartient à ChatGPT et que ChatGPT peut l'utiliser à sa guise.

avatar Scooby-Doo | 

@frankm,

« A mon avis il y a une condition à valider qui dit que tout ce qu'on envoie à ChatGPT appartient à ChatGPT et que ChatGPT peut l'utiliser à sa guise. »

C'est clairement expliqué dans l'article avec capture d'écran à l'appui ! Même pas sûr que ce soit suffisant !

Quand on ne veut pas comprendre que ces IA sont aussi des profilers tout comme Google qui fait depuis sa création son business sur du profiling de consommateurs pour vendre de la publicité ciblée, on est pas sorti de l'auberge !

La seule différence que j'entrevois c'est le volume d'informations personnelles traité par Google qui doit être juste colossale vu la PDM !

😁

avatar misc | 

Ça me semble évident que les infos entrées ne soient pas supprimées. Je m’était posé la question de savoir si j’allais raconter ma vie à un LLM pour mieux formuler des CV et lettre de motivation. Conclusion je ne sait toujours pas si je veut me décrire en détail pour une entité tierce de la sorte.

Peut être au LLaMa fuité si je peut le faire tourner en local. C’est aussi l’avantage de stable diffusion par rapport aux autres..

avatar DrStax | 

Dans la boîte (Multinational) ou je bosse, dès les débuts de la hype de chatGpT, des campagnes de prévention ont été déployer au niveau mondial pour sensibiliser à cette problématique et une instance chatGPT propre à l’entreprise est en test pour une utilisation avec des documents internes.

Ça m’étonne qu’une boîte comme Samsung n’ai pas sensibiliser ses employés. Après bien sûr, vu le nombre d’employés on est jamais à l’abris peu importe ce qui est mis en place.

avatar jopaone | 

@DrStax

« une instance chatGPT propre à l’entreprise est en test pour une utilisation avec des documents internes. »
Même dans le cas de l’utilisation de l’API il y a bien un transit des données des documents vers les serveurs d’OpenAI : quelle garantie avez-vous que les données ne sont pas stockées par OpenAI ?

avatar DrStax | 

@jopaone

D’après ce que j’ai compris tout le développement de la solution se passe avec Azure open Ai et sera intégrer via Teams dans un premier temps.

Avec une intégration des différents niveaux de confidentialité. D’ailleurs seul les 2 premiers seront dans un premier temps utilisable.

Après je n’en sais pas plus mais connaissant ma boîte, je n’ai aucun doute sur le sérieux de la chose.

CONNEXION UTILISATEUR