</div>
<p>
<figcaption class="article-featured-image-caption">
<em>Image : Paul Weaver / SOPA Images / LightRocket via Getty / Futurism</em> </figcaption>
</p>Une faille significative dans la sécurité des LLM
Avec l’intégration croissante des grands modèles de langage (LLM) dans nos vies quotidiennes, des lacunes majeures dans leur sécurité commencent à émerger. De nombreuses entreprises, dont McDonald’s, adoptent rapidement ces chatbots pour faciliter le recrutement, sans tenir compte des conséquences potentielles.
Un assistant virtuel peu ordinaire
Le chatbot développé par Paradox.ai, que McDonald’s désigne comme un « assistant virtuel de recrutement », se nomme Olivia. Ce dernier a été conçu pour aider les candidats à trouver un emploi à proximité via une discussion simulée, agrémentée d’une image d’un employé humain, ce qui rend l’expérience particulièrement troublante.
Des relevés d’interactions inquiétants
En tant que chatbot, Olivia ne se distingue pas vraiment par ses capacités. Elle guide les candidats à travers des tests de personnalité complexes et des questions de présélection, accompagnée des hallucinations typiques que l’on peut rencontrer avec un LLM.
Cependant, pour un hacker possédant les bonnes compétences, Olivia représente une véritable mine d’informations cachées. Selon un rapport initial de Wired, Olivia affichait des vulnérabilités de sécurité considérables sous son apparence humaine simulée. Avec un peu de connaissance, un hacker aurait pu accéder aux logs de discussion de 64 millions de candidats, révélant des informations sensibles telles que nom complet, adresse e-mail, numéro de téléphone et disponibilité.
Une découverte choquante
Cette vulnérabilité a été mise en lumière par des chercheurs en cybersécurité, Ian Carroll et Sam Curry, qui ont réussi à infiltrer le système en utilisant un mot de passe aussi simple que « 123456 ». Cette faille leur a permis d’explorer le “restaurant de test” de Paradox.ai et de découvrir les rouages du système.
Dans leur quête, ils ont réalisé qu’ils étaient devenus les administrateurs virtuels d’un restaurant de test au sein du système de recrutement McHire. Curieux d’analyser le processus, ils ont décidé de postuler à une offre d’essai. En examinant le code qui sous-tendait le formulaire de candidature, ils ont vite repéré un paramètre indiquant leur numéro de candidature : 64 185 742. En tentant d’accéder à la candidature suivante, ils ont découvert les informations personnelles d’un autre candidat, exposées devant le monde entier.
Une prise de conscience urgente
Ian Carroll a noté qu’ils avaient rapidement compris que le système leur donnait accès à toutes les interactions de candidature à McDonald’s. Conscients de l’impact potentiel de leur découverte, ils ont immédiatement souhaité faire part de cette vulnérabilité, mais se sont heurtés à un manque de contacts disponibles pour signaler le problème, ce qui les a contraints à envoyer des emails à des personnes choisies au hasard.
La page de sécurité de Paradox.ai affirmait étrangement qu’aucune inquiétude à propos de la sécurité n’était nécessaire. Depuis, cette vulnérabilité interne a été corrigée par la société, et le mot de passe n’est plus « 123456 ». Cependant, cette situation est un exemple frappant de la négligence entourant l’adoption hâtive des LLM.
FAQ
Qu’est-ce qu’un LLM ?
Un grand modèle de langage (LLM) est un type d’intelligence artificielle capable de comprendre et de générer du texte en langage naturel. Ces modèles sont utilisés dans diverses applications, y compris les chatbots et les assistants virtuels.
Comment fonctionne un chatbot comme Olivia ?
Olivia utilise des algorithmes d’intelligence artificielle pour simuler une conversation humaine. Elle guide les candidats à travers des processus de candidature en posant des questions et en effectuant des évaluations basées sur des modèles de personnalité.
Quels dangers posent les failles de sécurité des LLM ?
Les failles de sécurité dans les LLM peuvent exposer des données personnelles sensibles des utilisateurs, ce qui pourrait entraîner des atteintes à la vie privée, des fraudes et d’autres problèmes de sécurité sérieux.
Quelles mesures de sécurité devraient être mises en place pour les chatbots ?
Les entreprises devraient s’assurer que leurs systèmes sont régulièrement testés pour identifier les vulnérabilités. Cela inclut l’utilisation de mots de passe complexes, des protocoles de sécurité renforcés et des voies de communication claires pour signaler les problèmes.
Quel impact a l’adoption rapide des LLM dans les entreprises?
L’intégration rapide des LLM dans les systèmes d’entreprise peut accélérer les processus, mais elle expose également des risques significatifs si des mesures de sécurité appropriées ne sont pas mises en place. Cela pourrait éroder la confiance des utilisateurs et entraîner des législations plus strictes concernant la protection des données.
