Jakarta - OpenAI a révélé une faille de sécurité impliquant un outil de développement tiers appelé Axios. Mais ils ont insisté sur le fait qu’il n’y avait aucune preuve d’accès aux données des utilisateurs ni de compromis du système interne de l’entreprise.
Dans sa déclaration officielle, OpenAI a dit que l’incident faisait partie d’une attaque plus large sur la chaîne d’approvisionnement du logiciel, qui aurait impliqué des acteurs affiliés à la Corée du Nord. L’attaque a eu lieu le 31 mars 2026 et visait la bibliothèque Axios, largement utilisée dans le développement d’applications.
« Il n’y a aucune preuve que les données des utilisateurs ont été accédées, que notre système a été piraté ou que notre logiciel a été modifié », a déclaré OpenAI.
Les failles dans GitHub Actions sont à l'origine du problème
OpenAI explique que cette attaque utilise un workflow GitHub Actions utilisé pour télécharger et exécuter une version d'Axios qui a été infectée par du code dangereux. Le workflow a accès à des certificats et à du matériel de notarisation utilisés pour signer les applications macOS officielles d'OpenAI, y compris ChatGPT Desktop, Codex, Codex-cli et Atlas.
Cependant, les conclusions de l'enquête interne ont conclu que le certificat de signature n'a probablement pas été écrasé par le payload dangereux.
L’entreprise a également affirmé que les mots de passe des utilisateurs et les clés API d’OpenAI n’étaient pas affectés par l’incident.
« La principale cause de l’incident est une erreur de configuration dans le workflow GitHub Actions, qui a maintenant été corrigée », a poursuivi la déclaration.
Mise à jour obligatoire pour les utilisateurs de macOS
En tant que mesure de mitigation, OpenAI met actuellement à jour son système de certification de sécurité et exige que tous les utilisateurs de macOS mettent à jour leur application OpenAI à la dernière version.
Cette mesure a été prise pour prévenir la distribution potentielle d’applications fausses qui pourraient exploiter les failles de sécurité précédentes.
OpenAI a également annoncé qu’à partir du 8 mai 2026, la version la plus ancienne de son application de bureau macOS ne recevrait plus de mises à jour ni de support, et pourrait ne plus être utilisable.
Cette mesure est perçue comme une mesure préventive pour s’assurer que tous les utilisateurs se trouvent dans un écosystème d’applications dont la sécurité a été renforcée.
L'industrie des technologies est de nouveau sous les feux de l'actualité en raison de la sécurité de la chaîne d'approvisionnement
Cette incident a de nouveau mis en évidence la vulnérabilité de la chaîne d'approvisionnement mondiale des logiciels, en particulier lorsque les bibliothèques tierces parties largement utilisées deviennent des points d'entrée d'attaques.
Bien que OpenAI ait réussi à éviter les conséquences graves, cette affaire rappelle que même les grandes entreprises technologiques ne sont pas à l’abri des failles qui résultent de dépendances externes.
Avec la complexité croissante des écosystèmes de développement de logiciels, la transparence et la rapidité de réponse comme l'a montré OpenAI sont cruciales pour maintenir la confiance du public.
Suivez la chaîne Whatsapp VOI
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
