ChatGPT piraté à l'aide de GPT personnalisées exploitant une vulnérabilité SSRF

Le modèle de langage complexe ChatGPT d'OpenAI a corrigé une faille de sécurité découverte en début de semaine par un chercheur dans la fonctionnalité « Actions » des GPT personnalisés. Selon le chercheur, des attaquants auraient pu exploiter une vulnérabilité de type SSRF (Server-Side Request Forgery) pour exposer desdentinternes au sein du cloud du modèle d'IA.

En tant qu'ingénieur en sécurité open source et chasseur de bugs, SirLeeroyJenkins créait son premier GPT personnalisé lorsqu'il a « pressenti » la présence d'une vulnérabilité SSRF. La fonctionnalité Actions permet aux utilisateurs de defides API externes à l'aide de schémas OpenAPI afin que l'IA puisse les appeler pour des tâches spécifiques, comme la récupération de données météorologiques.

Lors de tests de sa propre API, SirLeeroyJenkins a découvert que le système renvoyait des données provenant d'une URL fournie par l'utilisateur. Alarmé par ce comportement, il a effectué des tests supplémentaires, soupçonnant une vulnérabilité SSRF.

« Dès que j’ai compris que cette fonctionnalité pouvait renvoyer des données depuis n’importe quelle URL fournie par l’utilisateur, mon instinct de hacker s’est réveillé », a-t-il déclaré. « J’ai dû vérifier la présence d’une vulnérabilité SSRF. »

Une vulnérabilité SSRF pourrait rendre les tables de partition personnalisées non sécurisées 

Comme l'explique Jenkins dans son article publié sur Medium en début de semaine, la falsification de requêtes côté serveur (SSR) est une vulnérabilité web qui permet aux applications d'effectuer des requêtes vers des destinations non prévues. Si l'application ne valide pas correctement les URL fournies par l'utilisateur, les attaquants peuvent exploiter les privilèges d'accès du serveur pour atteindre les réseaux internes ou les services de métadonnées du cloud.

La vulnérabilité SSRF était suffisamment répandue pour figurer dans le Top 10 de l'OWASP en 2021 et a maintenant étendu son potentiel de dommages, car les configurations par défaut non sécurisées dans les environnements cloud peuvent exposer des systèmes critiques.

Jenkins a expliqué qu'il existe deux principaux types d'attaques SSRF : la lecture complète et l'attaque aveugle. L'attaque SSRF en lecture complète renvoie directement des données du service cible à l'attaquant. En revanche, l'attaque SSRF aveugle ne révèle pas la réponse, mais permet néanmoins à l'attaquant d'interagir avec les services internes, par exemple par le biais d'analyses de ports temporelles.

Il a testé la vulnérabilité en pointant l'URL de l'API vers le service de métadonnées d'instance Azure (IMDS), qui stockedent. L'accès à ce service requiert normalement l' Metadata: True ; il a donc été alarmé lorsque ses premières tentatives n'ont pas permis de fournir l'en-tête demandé.

La fonctionnalité GPT personnalisée a initialement bloqué l'exploitation car elle imposait l'utilisation d'URL HTTPS, alors qu'Azure IMDS fonctionne via HTTP. En utilisant une redirection 302 depuis un point de terminaison HTTPS externe vers l'URL interne des métadonnées, le serveur a suivi la redirection. Cependant, Azure a bloqué l'accès en l'absence de l'en-tête requis.

« Le serveur ayant suivi les redirections 302, il a renvoyé la réponse de son URL de métadonnées interne. Mission accomplie, n'est-ce pas ? Eh bien non. La réponse de leur service de métadonnées indiquait qu'un en-tête obligatoire était manquant », a précisé SirLeeroyJenkins.

Après avoir continué à analyser les réponses, il s'est avéré que la fonctionnalité autorisait des clés API personnalisées pouvant être nommées arbitrairement. Il a tenté de nommer une clé « Metadata » avec la valeur « true », en injectant l'en-tête requis pour accorder à GPT l'accès au service de métadonnées.

Jenkins a immédiatement signalé la vulnérabilité au programme Bugcrowd d'OpenAI, et le problème a été classé comme hautement critique puis corrigé.

Il a également mentionné qu'Open Security avait déjà utilisé ce type de chaîne d'attaque SSRF pour exploiter une fonctionnalité vulnérable de génération de factures au sein d'une grande entreprise financière mondiale à des fins d'audit de sécurité.

OpenAI publie GPT-5.1 après la turbulence de la version 5.0

Dans d'autres nouvelles concernant ChatGPT, OpenAI a annoncé le lancement de GPT-5.1, vantant plusieurs mises à jour apportées par rapport à la version 5.0 pour améliorer le suivi des instructions et le raisonnement adaptatif. 

« GPT-5.1 est disponible ! C’est une belle mise à jour. J’apprécie particulièrement les améliorations apportées au suivi des instructions et à la pensée adaptative. Les améliorations en matière d’intelligence et de style sont également appréciables », a écrit le PDG Sam Altman sur X mercredi soir.

Le journaliste spécialisé en technologie Mehul Gupta a comparé GPT-5.1 à son prédécesseur, et a constaté que GPT-5, bien que performant et utile, complexifie parfois inutilement des tâches simples. La version instantanée de GPT-5.1 est censée offrir une meilleure compréhension et des pauses adaptatives subtiles permettant des réponses plus contextuelles.

Lors d'un test, Gupta a demandé aux deux modèles de répondre en six mots. GPT-5 a tenté de fournir des explications trop longues, tandis que GPT-5.1 a donné une réponse concise et correcte. 

Altman a également annoncé l'ajout de 7 nouveaux préréglages, dont Default, Friendly, Efficient, Professional, Candid et Quirky, mais les utilisateurs peuvent choisir de les « personnaliser eux-mêmes »