OpenAI, l’éditeur de ChatGPT, lance son programme de bug bounty !
L'entreprise OpenAI, à l'origine de l'incontournable ChatGPT, vient de lancer un nouveau programme de Bug Bounty ! Lorsqu'une faille de sécurité est découverte, la récompense peut atteindre 20 000 dollars !
Par l'intermédiaire de la plateforme Bugcrowd, les chercheurs en sécurité et les hackers peuvent participer au nouveau programme de Bug Bounty lancé par l'entreprise OpenAI (sur cette page). Pour rappel, un bug bounty est un programme de récompense qui permet à un éditeur d'offrir une somme d'argent à une personne qui découvrirait un bug (de sécurité notamment) dans son application, son site web, etc.
Lorsqu'une vulnérabilité est découverte, la récompense attribuée dépendra de l'impact de celle-ci sur le service affecté, ainsi que le niveau de criticité. De ce fait, la récompense peut varier fortement comme le précise OpenAI dans son communiqué officiel : "Nos récompenses vont de 200 dollars pour les découvertes de faible gravité à 20 000 dollars pour les découvertes exceptionnelles."
En lançant ce programme, OpenAI espère améliorer la sécurité de ces services, ce qui est rassurant d'un côté. Ces dernières semaines, l'éditeur de ChatGPT est dans la tourmente : entre le blocage demandé par les autorités italiennes et la fuite de données liée à l'historique des conversations...
D'après OpenAI, c'est gagnant-gagnant : "Nous vous invitons à signaler les vulnérabilités, les bugs ou les failles de sécurité que vous découvrez dans nos systèmes. En partageant vos découvertes, vous jouerez un rôle crucial pour rendre notre technologie plus sûre pour tous." Toutefois, c'est important de préciser que le détournement du chatbot ChatGPT (contourner les mesures de protection sur certains sujets) ne sera pas considéré comme une faille de sécurité ou un bug.
Il vaut mieux qu'un hacker éthique découvre une vulnérabilité, que son travail soit récompensé par OpenAI, et que la faille soit corrigée dans le service affecté, plutôt qu'il y ait un nouvel incident de sécurité ou que ce soit un cybercriminel qui effectue cette découverte avant tout le monde... Ce programme de bug bounty lancé par OpenAI est plutôt une bonne nouvelle.
La chasse aux bugs est ouverte !