15 000 dollars si vous piégez Bing Chat : Microsoft vous met au défi

 
Microsoft a lancé un programme de « bug bounty » à destination de de Bing Chat. En clair, ceux qui identifient des bugs du chatbot peuvent prévenir Microsoft et être rétribués financièrement, jusqu’à 15 000 dollars.
Source : Généré par IA avec Adobe Firefly

Vous ne trouverez sans doute pas de bug majeur sur Bing Chat, mais des professionnels de la sécurité informatique pourraient y arriver. Le problème, c’est que le faire bénévolement, c’est tout de suite moins intéressant. C’est pourquoi Microsoft propose des récompenses financières pour toute personne trouvant des bugs sur son chatbot d’IA.

15 000 dollars pour un bug : tout le monde n’en profitera pas

Le chatbot Bing Chat vient d’intégrer le programme de bug bounty de Microsoft. Pour rappel, le bug bounty (ou prime au bug en français) est une prime qu’un pirate informatique obtient après avoir prévenu l’éditeur d’un programme informatique d’un bug. Cette pratique est encadrée et il faut que l’éditeur en question approuve les tentatives de piratage. C’est ce que fait Microsoft avec le Miscrosoft Bug Bounty Program.

Bing Chat // Source : Microsoft

Ce dernier vient de s’ouvrir aux outils d’intelligence artificielle de Microsoft. Il « invite les chercheurs en sécurité du monde entier à découvrir les vulnérabilités de la nouvelle expérience Bing innovante et basée sur l’IA. » Pour chaque bug (important) trouvé, les chercheurs peuvent prétendre à des primes allant de 2000 à 15 000 dollars. Cela concerne l’intégration de Bing Chat dans Bing, dans Edge, dans Microsoft Start ainsi que dans Skype.

Des enjeux importants qui expliquent de « belles » récompenses

En vérité, Microsoft reconnaît que certaines primes peuvent aller au-delà des 15 000 dollars, en fonction « de la gravité et de l’impact de la vulnérabilité ainsi que de la qualité de la soumission. » Comme l’écrit PC Gamer, Microsoft a versé plus de 13 millions de dollars de récompense l’année dernière. L’une des failles découvertes a rapporté 200 000 dollars à celui qui l’avait trouvée.

D’un autre côté, pour une entreprise générant des dizaines de milliards de dollars de profits chaque année, la somme paraît dérisoire. De plus, les enjeux autour de Bing Chat et plus généralement de l’intégration de l’IA dans les services de Microsoft sont grands. La firme tend à intégrer son chatbot partout où elle peut et a de grandes ambitions pour ces projets. Des failles de sécurité pourraient engendrer de coûteuses polémiques envers Microsoft.

Bing Chat en mode sombre sur Edge // Source : Frandroid

Il y a tout de même certaines conditions à remplir avant de soumettre une vulnérabilité. Il faut bien sûr qu’elle ne soit pas déjà signalée ou connue par Microsoft. De plus, elle nécessite d’être d’une « gravité critique ou importante », tout en étant « reproductible sur la dernière version entièrement corrigée du produit ». Enfin, chaque bug rapporté doit être documenté selon des consignes précises. Si jamais votre bug ne remplit pas tous les critères, Microsoft, en grand prince, pourra publiquement le reconnaître et même peut-être vous offrir un cadeau.

Comment faire buguer Bing Chat

Les chercheurs en sécurité ont donc des missions à remplir. Il va leur falloir « influencer et modifier le comportement de Bing Chat au-delà des limites des utilisateurs », modifier son comportement en altérant, ou bien en faisant sauter les protections de la mémoire des conversations croisées et la suppression de l’historique de discussion. Aussi, les vulnérabilités peuvent porter sur les limites et règles de Bing Chat.

Une illustration des nouvelles fonctionnalités de Bing Chat // Source : Microsoft

En d’autres termes, les chercheurs peuvent tenter de faire dire des choses que ne devrait pas dire Bing Chat. Propos racistes, antisémites, ou factuellement faux (ce que Bing est capable de produire)… tout peut y passer. Autre action qu’ils peuvent tenter : avoir accès aux conversations d’autres utilisateurs. Ce problème a, par le passé, été rencontré, tant par ChatGPT, que par Google Bard plus récemment.

D’un autre côté, certaines pratiques sont interdites par Microsoft : les attaques par déni de service, les tests automatisés importants, les tentatives d’hameçonnage, ou encore l’accès à des données qui n’appartiennent pas aux chercheurs.


Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !

Les derniers articles