Une boulette rarissime aux États-Unis. Le chef de la cyberdéfense américaine, Madhu Gottumukkala, a téléchargé des fichiers sensibles sur la version publique de ChatGPT. Une erreur qui pourrait avoir des conséquences.
Des données sensibles partagées sur ChatGPT
Une affaire inattendue a secoué l’appareil de cyberdéfense des États-Unis : le directeur par intérim de la branche cyberdéfense a inséré des documents gouvernementaux sensibles dans un chatbot public, ChatGPT, malgré les restrictions fermes en vigueur pour la protection des données fédérales. Les faits remontent à l’été 2025. Madhu Gottumukkala, directeur par intérim de la Cybersecurity and Infrastructure Security Agency (CISA) depuis mai 2025, a téléchargé plusieurs documents gouvernementaux dits « sensibles » sur une version publique de ChatGPT fournie par OpenAI. Ces fichiers, bien que non classifiés au sens strict, étaient marqués « for official use only », une désignation qui indique qu’ils ne doivent pas être rendus publics en raison de leur nature délicate.
Les fichiers proviennent de contrats et d’autres documents administratifs internes à la CISA ; bien qu’ils n’aient pas été classés au niveau « secret » ou « top secret », leur exposition hors des réseaux sécurisés pose un risque réel de fuite d’informations.
L’incident a été détecté par les systèmes de surveillance de cybersécurité de l’agence, qui ont immédiatement déclenché plusieurs alertes automatisées en août 2025. Ces alertes sont conçues pour prévenir toute exfiltration de contenu gouvernemental depuis les réseaux fédéraux vers des plateformes externes.
Permissions et protocole contournés
Officiellement, Madhu Gottumukkala avait obtenu une dérogation temporaire pour accéder à ChatGPT avant d’effectuer ces téléchargements, alors que l’accès à cette plateforme restait bloqué pour le reste du personnel du Department of Homeland Security (DHS) en raison des risques évidents pour la sécurité des données. Cette exception accordée au directeur par intérim interfère avec les protocoles standards de sécurité de la cyberdéfense américaine : en temps normal, l’usage d’outils d’IA publics est strictement contrôlé, voire interdit, sur les réseaux qui traitent des informations sensibles.
Plusieurs responsables interrogés ont indiqué que cette permission spéciale a mis en lumière des lacunes dans la gouvernance de l’intelligence artificielle au sein d’une agence chargée de protéger précisément ces systèmes contre les cyberattaques. À la différence d’outils d’IA conçus avec des contrôles internes aux réseaux fédéraux, la version publique de ChatGPT enregistre et traite les données entrées par les utilisateurs sur les serveurs d’OpenAI. Cela signifie que toute information sensible peut théoriquement être utilisée pour améliorer le modèle ou, pire, être intégrée à des réponses ultérieures à d’autres utilisateurs.
L’incident déclenché par cet acte a entraîné une revue interne dirigée par de hauts responsables du DHS, notamment des représentants du bureau du conseiller juridique et du directeur informatique, afin d’évaluer l’ampleur de l’exposition des données et d’identifier d’éventuelles failles de procédure.
Dans une déclaration transmise, Marci McCarthy, directrice des affaires publiques de la CISA, a précisé que « Madhu Gottumukkala avait reçu l’autorisation d’utiliser ChatGPT dans un cadre contrôlé par le DHS, et que cet usage était court et limité ». Elle a aussi indiqué que l’accès à la plateforme restait bloqué par défaut, sauf dérogation. Les autorités n’ont cependant pas rendu public le résultat final de l’examen interne, laissant planer l’incertitude sur les mesures disciplinaires ou correctives pouvant être prises à l’encontre du directeur par intérim.
