OpenAI a lancé le jeudi dernier son programme de sécurité avancée pour les comptes ChatGPT, marquant une étape majeure dans la protection des données utilisateurs. Intitulée Sécurité de compte avancée (AAS), cette option volontaire vise initialement les personnes exposées à des risques élevés, tels que les dissidents politiques, les journalistes, les chercheurs et les élus, tout en restant accessible à tous les utilisateurs soucieux de leur confidentialité. Pour renforcer cette protection contre les menaces croissantes de hameçonnage, OpenAI a formé un partenariat stratégique avec Yubico, leader mondial de la sécurité numérique. Cette collaboration donne naissance à deux clés de sécurité matérielles co-marquées : la YubiKey C NFC et la YubiKey C Nano. Ces dispositifs sont conçus pour être directement liés aux comptes ChatGPT, offrant ainsi une couche de défense supplémentaire. Le but affiché, selon Jerrod Chong, PDG de Yubico, est de réduire drastiquement les risques d'accès non autorisé aux données sensibles stockées sur la plateforme. Le mécanisme de sécurité repose sur des clés physiques de petite taille, qui s'utilisent via les ports USB des ordinateurs. Chaque clé contient un identifiant cryptographique unique qui authentifie l'utilisateur uniquement en sa possession, rendant le vol d'informations d'identification à distance pratiquement inutile. Cette approche est particulièrement pertinente car les pirates informatiques ciblent de plus en plus les conversations sur les chatbots. Ces derniers contiennent souvent des informations précieuses, que ce soit des secrets d'entreprise ou des détails personnels, que les cybercriminels peuvent exploiter pour des extorsions ou des vols de données. Cette initiative s'inscrit dans un contexte où la cybersécurité devient une priorité centrale pour toute l'industrie de l'intelligence artificielle. À quelques semaines de l'annonce d'Anthropic concernant son modèle de cybersécurité nommé Mythos, OpenAI multiplie les mesures defensives, incluant précédemment la mise en place d'un nouveau cadre de défense numérique. L'objectif est clair : protéger les utilisateurs contre les acteurs malveillants qui évoluent dans un paysage de menaces de plus en plus complexe. Cependant, cette sécurité renforcée s'accompagne d'un compromis significatif. Contrairement aux méthodes de récupération par email ou téléphone, une clé de sécurité perdue ou oubliée signifie un accès définitif perdu. OpenAI ne pourra pas aider à récupérer le compte en l'absence du dispositif physique, ce qui risque d'entraîner la perte définitive des conversations et des données stockées dans le compte. Il incombe donc aux utilisateurs d'adopter des stratégies de sauvegarde rigoureuses pour conserver une copie de secours de leur clé. L'annonce met en lumière la tension croissante entre la nécessité de sécuriser les interactions avec les IA génératives et la responsabilité individuelle de la gestion des identifiants. Bien que la collaboration entre OpenAI et Yubico représente un pas important vers une protection plus robuste pour les utilisateurs à haut risque, elle exige une vigilance accrue de la part des personnes qui y souscrivent pour éviter la perte d'accès à leurs propres données.