Chat GPT à la rescousse des développeurs
Chat GPT a la capacité d’aider les développeurs dans la programmation. Il le fait plutôt bien. Un de mes amis l’a testé sur du Swift et Chat GPT lui a proposé une solution élégante qu’il n’avait pas envisagée. Il est vrai que ce langage, plutôt bien fait, voire à recommander, reste assez mal documenté sur ses fonctions les plus avancées.
Le cas Samsung
Le 16 mai 2023, IEEE Spectrum rapportait un article du journal coréen « The Economist Korea » qui annonçait que Samsung avait laissé ses employés utiliser Chat GPT. Ce qui n’est pas critiquable en soi. Cependant, si vous avez eu des développeurs, vous savez que ceux-ci n’hésitent pas à récupérer des API dont ils ignorent tout pensant que, puisqu’elles sont OpenSource, elles sont sûres. Parfois ils utiliseront des images sans vérifier que leur usage gratuit est autorisé.
Dans le cas de Samsung, c’est presque pire, 2 développeurs ont demandé à Chat GPT de déboguer et d’optimiser leur code, enfin le code de l’entreprise et du code particulièrement sensible. Quand on s’appelle Samsung et qu’on sait que de l’autre côté, Microsoft peut être à l’écoute, on devrait éviter ce genre d’opération. Oui, les développeurs, pourtant supposés les plus au fait sur les risques de brèches de sécurité, sont parfois naïfs. L’ego du développeur lui fait parfois oublier les règles.
Dans la foulée, Apple a également interdit l’usage de Chat GPT en interne. Ce qui n’empêche pas Tim Cook de l’utiliser et de se dire impressionné.
Personne n'est à l'abri
Mais ce genre de brèche n’est pas limitée aux développeurs et elle peut toucher tous les niveaux de l’entreprise. Les consultants qui, pour améliorer leur rendement, demandent la rédaction d’un rapport contenant des informations confidentielles, sont tout autant un risque de brèche de données sensibles. Ils seront d’autant plus enclins à utiliser un service d’amélioration de leur productivité qu’ils auront dû tirer leur prix vers le bas pour gagner le contrat.
L'hygiène sécuritaire est une culture
D’une manière générale, toute opération qui peut représenter un risque de partage involontaire d’information sur le Cloud est à regarder avec précaution, même si les opérations sont effectuées sur la partie que vous pensez privée de votre Cloud.
Les sociétés qui font de la transcription hébergée, parole vers texte, d’ordres vocaux de transactions financières, le font dans le domaine chiffré. L’enregistrement est bien téléversé et stocké chiffré. Si on veut bénéficier des performances du serveur distant, on fera, sur ce serveur, les opération de transcription de l’enregistrement vocal en texte. La solution simple, pour autant que la transcription soit une opération simple, serait de déchiffrer l’enregistrement sur le serveur, effectuer la transcription, puis chiffrer cette dernière avant de l’émettre vers l’utilisateur. Nous avons une brèche de sécurité.
Ce n’est pas ce que font les sociétés qui offrent ce service. La technique maintenant utilisée repose sur le chiffrement homomorphique. La transcription est pratiquée directement à partir de l’enregistrement vocal chiffré, sans déchiffrement. Le résultat est une transcription chiffrée, généralement avec la même clé de chiffrement que celle qui a servi pour la parole. Cette clé, normalement, n’est connue que des personnes qui ont accès à la transcription. Le système de transcription quant à lui ne la connaît pas. La brèche de sécurité a été évitée.
Comme le cas Samsung le montre, les brèches ne sont que rarement dues à la malveillance mais beaucoup à la naïveté.
Faut-il donc éviter le recours à des techniques du type de Chat GPT? Ça dépend, dans un prochain bulletin, nous parlerons d’une application qui applique GPT à ses propres données. Celles-ci représentent un très large volume de rapports recueillis sur plusieurs dizaines d’années. GPT permet de trouver l’aiguille dans la botte de foin, qu’un humain aurait laissé passer. Il n’y a pas de fuite d’information même si le sujet n’est pas critique.
Une culture de la sécurité et une certaine paranoïa sont les premiers remparts. Elles ne sont pas dispendieuses et facilitent la mise en place des protections techniques. Si dès 1622, les murailles avaient des oreilles, aujourd’hui elles ont aussi des yeux , voient tout, savent lire et, pire, elles comprennent.
Pour ma part, j’utilise CHAT GPT presque tous les jours pour des questions techniques ou ayant trait à mes recherches. Sur ces dernières, il sèche souvent. Nous prévoyons cependant intégrer l’API pour certains projets.
Hugues Sansen
