OpenAI alerte sur un problème de données : les utilisateurs Mac doivent agir sans attendre

Actualités
Par publié

Une mise à jour recommandée

The OpenAI logo displayed on a screen with the flag of the United States in the background.
(Crédit photo: Shutterstock)
  • OpenAI a renouvelé son certificat de signature de code macOS après une faille dans la chaîne d’approvisionnement d’Axios
  • Une version malveillante d’Axios 1.14.1 intégrée au processus de signature des applications
  • Aucune preuve de vol de données, mais les anciennes versions des applications sont désormais obsolètes

OpenAI a récemment renouvelé son certificat de signature de code pour macOS et publié de nouvelles versions de ses produits macOS à titre préventif face à d’éventuelles attaques par malware.

Lorsqu’une application est signée avec un certificat développeur valide (comme celui d’OpenAI), le système considère que le développeur est vérifié, que l’application n’a pas été altérée et qu’elle peut être exécutée en toute sécurité. Un malware signé avec un tel certificat a de fortes chances de contourner les protections et d’être autorisé à s’exécuter sur la machine cible.

Dans une mise à jour publiée en fin de semaine dernière, l’entreprise d’IA a indiqué avoir observé une compromission chez Axios, un outil de développement tiers qu’elle utilise, fin mars de cette année. Axios est une bibliothèque JavaScript utilisée pour envoyer des requêtes HTTP (elle permet aux applications de communiquer avec des serveurs). Elle a été compromise, et une version malveillante – 1.14.1 – a été diffusée.

L’attaque s’inscrivait apparemment dans une attaque plus large visant la chaîne d’approvisionnement logicielle. À ce moment-là, OpenAI utilisait un workflow GitHub Actions dans le processus de signature des applications macOS, lequel a téléchargé et exécuté cette version malveillante.

Les données des utilisateurs sont en sécurité

« Ce workflow avait accès à un certificat ainsi qu’à des éléments de notarisation utilisés pour signer des applications macOS, notamment ChatGPT Desktop, Codex, Codex-cli et Atlas », a expliqué OpenAI.

Bien que l’analyse de l’incident menée par l’entreprise ait conclu que le certificat de signature n’avait « probablement pas été exfiltré avec succès », il a tout de même été considéré comme compromis et remplacé par mesure de précaution.

« À compter du 8 mai 2026, les anciennes versions de nos applications de bureau macOS ne recevront plus de mises à jour ni d’assistance et pourraient ne plus fonctionner », a averti OpenAI. « Ces versions correspondent aux premières versions signées avec notre certificat mis à jour :
ChatGPT Desktop : 1.2026.051
Codex App : 26.406.40811
Codex CLI : 0.119.0
Atlas : 1.2026.84.2 »

Dans le même rapport, l’entreprise précise qu’aucune preuve n’indique un accès aux données des utilisateurs, une compromission de propriété intellectuelle ou une altération du logiciel.

Via Reuters

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.