OpenAI a lancé il y a deux mois une application Mac officielle pour ChatGPT. Comme l’a cependant démontré le développeur Pedro José Pereira Vieito sur Mastodon et Threads, l’application stockait les informations en clair.
On pouvait très facilement trouver ces informations dans le dossier ~/Library/Application Support/com.openai.chat, sous forme de fichiers .data. Pereira Vieito a donc créé une petite application pour trouver ces informations et les présenter sous une forme exploitable.
Si les informations étaient aussi facilement accessibles, c’est parce qu’OpenAI a choisi de ne pas placer son application dans une sandbox. Après tout, l’entreprise n’y est pas tenue, puisque son client officiel est disponible depuis son propre site, pas via le Mac App Store.
En outre, l’éditeur a choisi de stocker les informations dans un dossier non protégé. Apple recommande aux développeurs de stocker les informations personnelles dans les dossiers prévus à cet effet. Depuis Mojave (macOS 10.14), ces dossiers sont protégés, leur accès devant être confirmé par l’utilisateur.
OpenAI a corrigé depuis le tir en déployant une nouvelle version de son application il y a quelques jours. Les conversations sont désormais chiffrées et le programme créé par Pedro José Pereira Vieito ne fonctionne plus.
« Nous sommes conscients de ce problème et avons livré une nouvelle version de l’application qui chiffre ces conversations. Nous nous engageons à fournir une expérience utilisateur utile tout en maintenant nos normes de sécurité élevées au fur et à mesure que notre technologie évolue », a déclaré une porte-parole à The Verge.