Un chercheur expose une faille SSRF critique dans les GPT personnalisés de ChatGPT – un risque majeur pour les entreprises

Une vulnérabilité dangereuse vient d'être mise au jour dans les modèles GPT personnalisés de ChatGPT. Un chercheur en sécurité a découvert un bug de type SSRF (Server-Side Request Forgery) permettant à des attaquants de siphonner des données sensibles depuis des serveurs internes.

Les implications ? Potentiellement désastreuses pour les entreprises qui utilisent ces modèles en interne. Imaginez : un employé interroge un GPT customisé sur l'état des stocks, et sans le savoir, donne accès à l'intégralité de votre infrastructure.

OpenAI minimise le risque – comme d'habitude – mais les experts en cybersécurité tirent la sonnette d'alarme. Et pendant ce temps, les investisseurs continuent de jeter des millions dans l'IA générative sans se poser de questions. Après tout, qui a besoin de sécurité quand on peut avoir des jolis graphiques en forme de hockey stick ?

Une vulnérabilité SSRF pourrait rendre les tables de partition personnalisées non sécurisées. 

Comme l'explique Jenkins dans son article publié sur Medium en début de semaine, la falsification de requêtes côté serveur (SSR) est une vulnérabilité web qui permet aux applications d'effectuer des requêtes vers des destinations non prévues. Si l'application ne valide pas correctement les URL fournies par l'utilisateur, les attaquants peuvent exploiter les privilèges d'accès du serveur pour atteindre les réseaux internes ou les services de métadonnées du cloud.

La vulnérabilité SSRF était suffisamment répandue pour figurer dans le Top 10 de l'OWASP en 2021 et a maintenant étendu son potentiel de dommages, car les configurations par défaut non sécurisées dans les environnements cloud peuvent exposer des systèmes critiques.

Jenkins a expliqué qu'il existe deux principaux types d'attaques SSRF : la lecture complète et l'attaque aveugle. L'attaque SSRF en lecture complète renvoie directement des données du service cible à l'attaquant. En revanche, l'attaque SSRF aveugle ne révèle pas la réponse, mais permet néanmoins à l'attaquant d'interagir avec les services internes, par exemple par le biais d'analyses de ports temporelles.

Il a testé la vulnérabilité en pointant l'URL de l'API vers le service de métadonnées d'instance Azure (IMDS), qui stocke dent . L'accès à ce service requiert normalement l' Metadata: True ; il a donc été alarmé lorsque ses premières tentatives n'ont pas permis de fournir l'en-tête demandé.

La fonctionnalité GPT personnalisée a initialement bloqué l'exploitation car elle imposait l'utilisation d'URL HTTPS, alors qu'Azure IMDS fonctionne via HTTP. En utilisant une redirection 302 depuis un point de terminaison HTTPS externe vers l'URL interne des métadonnées, le serveur a suivi la redirection. Cependant, Azure a bloqué l'accès en l'absence de l'en-tête requis.

« Le serveur ayant suivi les redirections 302, il a renvoyé la réponse de son URL de métadonnées interne. Mission accomplie, n'est-ce pas ? Eh bien non. La réponse de leur service de métadonnées indiquait qu'un en-tête obligatoire était manquant », a précisé SirLeeroyJenkins.

Après avoir continué à analyser les réponses, il s'est avéré que la fonctionnalité autorisait des clés API personnalisées pouvant être nommées arbitrairement. Il a tenté de nommer une clé « Metadata » avec la valeur « true » , en injectant l'en-tête requis pour accorder à GPT l'accès au service de métadonnées.

Jenkins a immédiatement signalé la vulnérabilité au programme Bugcrowd d'OpenAI, et le problème a été classé comme hautement critique puis corrigé.

Il a également mentionné qu'Open Security avait déjà utilisé ce type de chaîne d'attaque SSRF pour exploiter une fonctionnalité vulnérable de génération de factures au sein d'une grande entreprise financière mondiale à des fins d'audit de sécurité.

OpenAI publie GPT-5.1 après la turbulence de la version 5.0

Dans d'autres nouvelles concernant ChatGPT, OpenAI a annoncé le lancement de GPT-5.1, vantant plusieurs mises à jour apportées par rapport à la version 5.0 pour améliorer le suivi des instructions et le raisonnement adaptatif.

« GPT-5.1 est disponible ! C’est une belle mise à jour. J’apprécie particulièrement les améliorations apportées au suivi des instructions et à la pensée adaptative. Les améliorations en matière d’intelligence et de style sont également appréciables », a écrit le PDG Sam Altman sur X mercredi soir.

Le journaliste spécialisé en technologie Mehul Gupta a comparé GPT-5.1 à son prédécesseur, et a constaté que GPT-5 , bien que performant et utile, complexifie parfois inutilement des tâches simples. La version instantanée de GPT-5.1 est censée offrir une meilleure compréhension et des pauses adaptatives subtiles permettant des réponses plus contextuelles.

Lors d'un test, Gupta a demandé aux deux modèles de répondre en six mots. GPT-5 a tenté de fournir des explications trop longues, tandis que GPT-5.1 a donné une réponse concise et correcte. 

Altman a également annoncé l'ajout de 7 nouveaux préréglages, dont Default, Friendly, Efficient, Professional, Candid et Quirky, mais les utilisateurs peuvent choisir de les « personnaliser eux-mêmes ».

Si vous lisez ceci, vous êtes déjà en avance. Restez informés grâce à notre newsletter .