Selon un reportage, le chef américain de la cybersécurité a téléversé des documents gouvernementaux sensibles sur ChatGPT

 (dexerto.com)
2 points par GN⁺ 2026-01-30 | 1 commentaires | Partager sur WhatsApp
  • Le directeur par intérim de la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis aurait téléversé sur ChatGPT des documents de contrats gouvernementaux classés sensibles
  • Les documents portaient la mention « For Official Use Only », ce qui a déclenché une alerte de sécurité interne et une enquête fédérale
  • Il aurait demandé une dérogation spéciale pour accéder à ChatGPT, alors que l’accès y était bloqué pour les autres employés du Department of Homeland Security
  • Une porte-parole de la CISA a déclaré que l’usage avait été « bref et limité », et qu’une procédure d’évaluation des dommages avait été lancée après l’incident
  • L’affaire survient dans un contexte de politique d’élargissement de l’usage de l’IA au sein du gouvernement fédéral et souligne l’importance de la gestion de la sécurité autour de l’IA dans les organismes publics

Aperçu de l’incident de téléversement sur ChatGPT

  • Politico rapporte que Madhu Gottumukkala, directeur par intérim de la CISA, principale agence de cybersécurité du gouvernement américain, a téléversé des documents gouvernementaux sensibles sur la version publique de ChatGPT
    • Les documents téléversés étaient des documents liés à des contrats gouvernementaux portant la mention « For Official Use Only »
    • L’incident se serait produit durant l’été 2025, et le système interne de surveillance cybersécurité l’aurait détecté début août
  • Après la détection, une évaluation des dommages (damage assessment) pilotée par le Department of Homeland Security (DHS) a été immédiatement lancée afin d’examiner si des informations avaient été exposées
  • Comme la version publique de ChatGPT partage les saisies des utilisateurs avec OpenAI, le risque d’une fuite de données sensibles en dehors du réseau interne a été soulevé

Réponse de la CISA et position officielle

  • La porte-parole de la CISA, Marci McCarthy, a expliqué que Gottumukkala « avait reçu l’autorisation d’utiliser ChatGPT sous le contrôle du DHS »
    • Elle a insisté sur le fait que l’usage avait été « bref et limité »
  • Gottumukkala occupe le poste de directeur par intérim depuis mai 2025, tandis que le Sénat n’a pas encore confirmé Sean Plankey comme directeur officiel
  • Politico mentionne également d’autres cas problématiques durant son mandat
    • Il aurait déjà échoué à un examen de contre-espionnage (polygraph) requis pour l’accès à des informations de haut niveau
    • Lors d’une récente audition au Congrès, il a toutefois contesté cette évaluation et l’a niée

Politique fédérale sur l’IA et moment de l’incident

  • L’incident est survenu à un moment où l’administration Donald Trump pousse à l’adoption de l’IA dans l’ensemble des agences fédérales
    • En décembre 2025, le président Trump a signé un décret limitant les réglementations de l’IA au niveau des États
    • Le Pentagon a annoncé une stratégie « AI-first » pour étendre l’usage de l’intelligence artificielle dans le domaine militaire
  • Dans ce contexte politique, l’affaire est observée comme un exemple révélant les risques de sécurité liés à l’usage de l’IA dans le secteur public

Alerte de sécurité interne et procédure d’enquête

  • Dès que le système de surveillance cybersécurité a détecté le téléversement sur ChatGPT, une alerte interne a été déclenchée
    • Le DHS a ensuite ouvert une enquête officielle afin d’évaluer une éventuelle exposition d’informations et l’étendue des dommages
  • Selon le reportage, l’accès à ChatGPT était bloqué pour les employés ordinaires du DHS, mais Gottumukkala a obtenu cet accès via une demande de dérogation spéciale
  • Des inquiétudes ont été exprimées au sein de l’administration fédérale quant au fait que la manière dont OpenAI traite les données pourrait entrer en conflit avec les politiques de sécurité des réseaux internes du gouvernement

Portée et signification de l’affaire

  • L’incident montre que même un haut responsable fédéral de la sécurité peut être exposé à des risques de sécurité lors de l’usage d’outils d’IA
  • Il met en lumière la nécessité de renforcer les directives d’usage de l’IA dans les organismes publics et de réexaminer les dispositifs de protection des données
  • Alors que l’adoption des technologies d’IA s’accélère, l’importance de contrôles de sécurité et de procédures d’usage transparentes est soulignée

À lire aussi

1 commentaires

 
GN⁺ 2026-01-30
Commentaires Hacker News

  • Dans ce genre de situation, on se dit qu’un LLM dédié à GovCloud est indispensable
    C’est frustrant de voir un gouvernement qui semble dirigé par des « neveux de neveux nommés à un poste »
    Ça me fait sans cesse penser à la mini-série Chernobyl de HBO — comme la scène où le ministre des Sciences venait d’une usine de chaussures, on a l’impression qu’on est entré dans une époque où plus personne n’a besoin d’être compétent dans son travail

    • Selon l’article, ChatGPT était bloqué pour la plupart des employés du DHS, et seul Gottumukkala avait obtenu une autorisation spéciale pour l’utiliser de façon limitée
      Le fait qu’il ait quand même été épinglé lors d’un contrôle de sécurité signifie que le gouvernement a jugé qu’un usage large de cet outil n’était pas sûr
      Il serait déjà en train de développer avec OpenAI un modèle réservé au gouvernement, ChatGPT Gov
    • Placer des personnes incompétentes dans des positions de pouvoir est un outil politique classique pour s’assurer de leur loyauté
      Comme elles n’ont pas obtenu leur poste par leur mérite, elles ne sont loyales qu’envers la personne qui les a nommées et se soucient peu de la qualité du travail
      Plus un dirigeant est faible, plus il recourt à cette méthode, et malheureusement elle est assez efficace
    • Des « neveux de neveux nommés à un poste » ? Il ne faut pas non plus oublier les Large Adult Sons
      Pour le mème associé, voir l’article du New Yorker et la page KnowYourMeme
    • On dirait une stratégie délibérée pour rendre l’État incompétent en apparence, afin que des entreprises privées tenues par des amis ou de la famille récupèrent ensuite le travail
      C’est un moyen bien plus efficace de détourner des ressources
    • Pour rappel, Chernobyl de HBO est une fiction. En réalité, il n’y avait pas de scène où le « directeur d’usine de chaussures » boit de la vodka

  • Le niveau d’op-sec de cette administration est à peu près celui de ‘Barney Fife’

    • L’équipe de sécurité de Maduro au Venezuela ne serait peut-être pas tout à fait d’accord avec cet avis
    • Fife, au moins, était bien intentionné. Et en plus son supérieur l’empêchait même de porter une arme
    • L’incompétence générale de cette administration fait penser à un niveau « enfant qui joue avec de la colle »
    • Cette incompétence n’est peut-être pas un bug mais une fonctionnalité
    • J’ai aussi passé dix ans dans les achats et la vente, et ce genre de situation me fait rire
      Quelqu’un qui ne connaît pas les procédures de passation de marchés et essaie de s’en sortir avec une recherche en ligne, ce n’est pas différent d’un cadre en 2007 qui tapait « c’est quoi un RFP ? » dans un moteur de recherche

  • C’est étrange que quelqu’un ait choisi d’utiliser le 4o public alors qu’il pouvait déjà avoir accès à un ChatGPT Pro sécurisé sur Azure
    Le gouvernement disposait déjà d’un environnement sécurisé isolé
    Au final, il avait obtenu l’autorisation de ne l’utiliser qu’au niveau de documents « non officiels », mais ce genre d’erreur élémentaire est difficilement acceptable pour un dirigeant de la CISA

    • Mais s’il n’était qu’une marionnette placée là, il n’aurait probablement jamais su comment utiliser correctement ce type d’outils

  • Mieux vaut lire la source originale dans l’article de Politico

    • En revanche, cet article n’a pas suscité beaucoup de discussion (ancien fil HN)

  • Ceux qui enfreignent les règles, ce sont toujours les supérieurs
    Je connais des gens qui travaillaient dans les communications militaires, et ils racontaient que des officiers supérieurs ignoraient souvent les procédures de sécurité simplement parce qu’elles les gênaient

  • Les gens étaient déjà négligents sur les réseaux sociaux publics
    Avec l’arrivée des LLM, cette tendance risque de s’aggraver encore

    • C’est là que se trouve le vrai danger. À l’heure actuelle, il n’existe même pas de moyen de demander la suppression de données d’un LLM

  • Dans les secteurs soumis aux réglementations ITAR/EAR (aérospatial, défense, etc.), bloquer l’accès à ChatGPT.com devrait être obligatoire
    Le fait que ce ne soit pas déjà le cas est choquant

    • D’accord. Cela dit, les règles ITAR et EAR sont particulièrement floues dans l’enseignement supérieur
    • D’après le rapport, Gottumukkala a demandé une dérogation spéciale pour accéder à ChatGPT

  • Le niveau de compétence montré ici est exactement celui auquel on pouvait s’attendre

    • C’est une personne nommée directement par Kristi Noem
      D’après son profil Wikipédia, il a été nommé directeur adjoint du DHS en avril 2025 et a commencé à exercer comme directeur par intérim de la CISA à partir de mai

  • C’était assez amusant de décocher les paramètres de cookies un par un
    Un tiers des 1668 sociétés partenaires revendiquaient un « intérêt légitime »
    Vu que Privacy Badger n’en bloque que 19, il est possible que certains remplissent juste l’écran avec de faux cookies
    J’ai fini par oublier de lire l’article

    • Un même cookie peut être partagé entre plusieurs partenaires, ou les données collectées peuvent être transmises
      Ce n’est pas simplement une « loi sur les cookies », c’est une loi sur le partage des données personnelles
      Par exemple, si on veut vendre mon SSN et mon e-mail à 1668 entreprises, il faut obtenir le consentement pour chacune d’elles

  • Au final, le gouvernement semble vouloir résoudre le problème en forçant une intégration avec Grok

    • DOGE a probablement déjà aspiré toutes les données dont il avait besoin, mais il en voudra sans doute encore davantage