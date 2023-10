Comme beaucoup d’autres entreprises technologiques, Google cherche à détecter les vulnérabilités de ses systèmes en rémunérant les pirates informatiques dits "éthiques", qui découvrent et divulguent leurs failles de sécurité. Ce sont les fameux bug bounty, Vulnerability Reward Program (VRP), ou primes aux bogues en français.



Le 26 octobre 2023, le géant des big tech a annoncé étendre son programme de bug bounty aux scénarios d'attaques spécifiques à l'intelligence artificielle générative, conscient que cette petite révolution soulève aussi de nouvelles préoccupations en matière de sécurité numérique. Il espère inciter les hackers à soumettre davantage de bogues dans le domaine et ainsi "contribuer à rendre l’IA plus sûre".



Nouvelle technologie, nouvelles menaces

L'"AI Red Team" de Google, récemment créée, a déjà pu déterminer les principales menaces qui pèsent sur la technologie derrière les produits d'IA générative comme ChatGPT et Google Bard. L'équipe a découvert que les grands modèles de langage (LLM) sont vulnérables aux attaques par injection d'invite (prompt injection attack), qui permettent à un pirate informatique de créer des invites contradictoires qui peuvent influencer le comportement du modèle, le faisant ignorer les instructions précédentes ou exécuter des actions involontaires.



Elle a par ailleurs mis en garde Google contre l’"extraction de données de formation", qui permet aux pirates de reconstruire des exemples de formation textuelle pour extraire des informations personnellement identifiables ou des mots de passe.

De généreuses rétributions pour les hackers "éthiques"

Ces deux types d'attaques sont couverts par le VRP étendu de Google, tout comme celles concernant la manipulation et le vol de modèles, mais Google précise qu'il n'offrira pas de récompenses aux chercheurs qui découvrent des bugs liés à des problèmes de droits d'auteur ou à l'extraction de données non sensibles ou publiques.



Les rétributions varieront en fonction de la gravité de la vulnérabilité découverte, de 100 à 31 337 dollars s’ils découvrent des failles de sécurité affectant des applications très sensibles telles que la recherche Google ou Google Play. Sur des applications moins prioritaires, la récompense maximale est de 5000 dollars.