Alors que la concurrence fait rage dans le domaine de l’IA, OpenAI est sous le feu des critiques pour avoir drastiquement réduit le temps consacré aux tests de sécurité de ses derniers modèles, notamment “o3”.
Autrefois saluée pour son engagement envers la responsabilité éthique, la société a récemment choisi de mettre ses modèles de langage de grande taille (LLMs) sur le marché plus rapidement, au détriment des tests de sécurité approfondis. Cette décision, motivée par la pression croissante de la concurrence et la demande incessante du marché, soulève des préoccupations sur les risques potentiels et la sécurité de ces technologies.
Selon des informations relayées par le Financial Times, les équipes internes ainsi que les groupes tiers chargés de ces évaluations n’auraient eu que quelques jours pour tester certains modèles récents, contre plusieurs mois auparavant. Une source ayant participé aux tests du modèle “o3” a exprimé son mécontentement, soulignant : « Nous avions des tests de sécurité bien plus approfondis lorsque cela avait moins d’importance ».
Accélération du développement au détriment de la sécurité
Sous la pression d’une concurrence acharnée de Google, Meta, xAI ou Mistral, OpenAI accélère considérablement le développement de ses modèles d’IA. Cette course à l’innovation vise à maintenir son avance, et le contraste est frappant : alors que GPT-4 avait été testé pendant six mois avant son lancement en 2023, OpenAI aurait fait pression pour lancer son modèle “o3” dès la semaine prochaine, accordant ainsi à certains testeurs moins d’une semaine pour effectuer leurs vérifications de sécurité, selon des sources proches du dossier.
Au-delà des aspects techniques, c’est aussi l’image de l’entreprise qui est en jeu. Autrefois à but non lucratif, OpenAI est régulièrement accusée de s’être éloignée de sa mission initiale, tournée vers l’intérêt général. Une stratégie perçue comme favorisant la vitesse et le profit au détriment de la sécurité pourrait durablement nuire à sa crédibilité. De nombreux experts estiment en effet qu’un temps de test aussi court risque de compromettre la qualité du modèle dès sa mise en ligne. « Si le modèle génère des erreurs graves ou des contenus problématiques, cela sapera la confiance du public et freinera son adoption », avertit Pareekh Jain, PDG et analyste principal chez Parekh Consulting.
Des protocoles de test remis en question
Les critiques pointent également du doigt un autre problème : les tests sont souvent réalisés sur des versions préliminaires des modèles, alors que les versions finales peuvent être modifiées après cette phase de validation. Un ancien membre de l’équipe OpenAI a qualifié cette pratique de « mauvaise », en raison du risque de décalage entre ce qui est évalué et ce qui est réellement lancé.
Et si l’Union européenne a récemment adopté une réglementation plus stricte en matière d’IA, il n’existe toujours pas de cadre mondial harmonisé sur les tests de sécurité des modèles. De nombreux experts appellent à une régulation plus robuste, qui imposerait des standards clairs avant toute mise sur le marché.
Oracle a signalé une deuxième violation de données en un mois. Selon Bloomberg, un pirate a infiltré un ancien système, volé des identifiants clients et mis les données en vente. Le FBI et CrowdStrike mènent l’enquête.
Le printemps pour Oracle est synonyme de problèmes de cybersécurité. En effet, une personne non identifiée aurait tenté de vendre des données volées provenant des serveurs cloud de l’entreprise le mois dernier, selon Bloomberg, citant deux sources proches de l’affaire. Le personnel d’Oracle a informé certains clients cette semaine qu’un attaquant avait pénétré dans un vieux système qui n’était plus utilisé depuis huit ans. Pour la société, les informations d’identification volées présentaient donc peu de risques. Néanmoins, Bloomberg souligne que les données subtilisées comprenaient des identifiants de connexion des clients datant, pour certains, de 2024.
Oracle a indiqué à certains clients que le Federal Bureau of Investigation (FBI) et la société de cybersécurité CrowdStrike enquêtaient sur cette fuite de données. Il a par ailleurs précisé que l’attaquant avait exigé le paiement d’une rançon.
Oracle Health et l’incident Cerner
La firme américaine a souligné que cette violation de données est distincte de l’incident de piratage signalé le mois dernier, qui avait concerné certains clients du secteur de la santé. Selon BleepingComputer, cet incident provient d’anciens serveurs de Cerner, une entreprise de logiciels médicaux acquise par Oracle en 2022. Ces serveurs, encore en cours de migration vers OCI (Oracle Cloud Infrastructure), auraient été compromis. Oracle Health a notifié à ses clients cette fuite de sécurité : « Nous vous écrivons pour vous informer qu’en date du 20 février 2025, nous avons pris connaissance d’un événement de cybersécurité impliquant un accès non autorisé à une certaine quantité de vos données Cerner, stockées sur un ancien serveur non encore migré vers Oracle Cloud. »
Controverse autour de la violation du Cloud Oracle
La divulgation de ces incidents intervient alors que la société de cybersécurité CloudSEK a signalé une possible compromission des serveurs d’authentification SSO (Single Sign-On) d’Oracle Cloud. Un pirate a affirmé avoir dérobé des données d’authentification LDAP de six millions de personnes et a partagé des preuves sous forme de fichiers archives contenant des adresses e-mail. Bien qu’Oracle ait nié toute compromission de son infrastructure cloud, des clients ont confirmé l’authenticité de certains échantillons de données volées. De plus, le cybercriminel a publié une URL archivée et démontré un accès en écriture à ce service utilisant Oracle Access Manager.
En réaction, Oracle a demandé à Wayback Machine (Archive.org) de supprimer l’URL en question, ce qui a suscité de vives critiques de la part des experts en cybersécurité, qui considèrent cette mesure comme une tentative de dissimulation de l’incident. Rahul Sassi, CEO de CloudSEK, a réagi en déclarant : « En cybersécurité, le déni ne neutralise pas le danger, la transparence le fait. » Il a insisté sur l’importance de la responsabilité et de la clarté dans la gestion des cyberattaques.