Nous avons récemment identifié un problème de sécurité impliquant une bibliothèque open source courante, TanStack npm, qui fait partie d’une attaque plus large connue sous le nom de Mini Shai-Hulud(s'ouvre dans une nouvelle fenêtre). Nous n’avons trouvé aucune preuve indiquant que les données des utilisateurs d’OpenAI ont été consultées, que nos systèmes de production ou notre propriété intellectuelle ont été compromis, ou que notre logiciel a été modifié.
Nous avons pris des mesures décisives pour protéger les données de nos utilisateurs, nos systèmes et notre propriété intellectuelle. Dans le cadre de notre réponse, nous prenons des mesures pour protéger le processus qui certifie que nos applications macOS sont bien des applications OpenAI légitimes.
Mettez à jour vos applications macOS d’ici le 12 juin 2026
Nous mettons à jour nos certificats de sécurité, ce qui exigera que tous les utilisateurs macOS mettent à jour leurs applications OpenAI vers les versions les plus récentes. Cela aide à prévenir tout risque, même improbable, qu’une personne tente de distribuer une fausse application se faisant passer pour une application OpenAI. Vous pouvez effectuer la mise à jour en toute sécurité via une mise à jour intégrée à l’application ou à partir des liens officiels ci-dessous
La sécurité et la confidentialité de vos informations sont une priorité absolue. Nous nous engageons à faire preuve de transparence et à agir rapidement lorsque des problèmes surviennent. Nous partageons plus de détails techniques ainsi que la FAQ ci-dessous.
Le 11 mai 2026 (UTC), TanStack, une bibliothèque open source largement utilisée, a été compromise dans le cadre d’une attaque plus vaste sur la chaîne d’approvisionnement logicielle connue sous le nom de Mini Shai-Hulud(s'ouvre dans une nouvelle fenêtre).
Deux appareils d’employés au sein de notre environnement d’entreprise ont été touchés par cette attaque. Dès la détection de l’activité malveillante, nous avons agi rapidement pour enquêter, contenir l’incident et prendre des mesures pour protéger nos systèmes. Dans le cadre de notre enquête et de notre réponse, nous avons fait appel à une firme externe spécialisée en criminalistique numérique et en réponse aux incidents.
Nous avons observé une activité correspondant au comportement décrit publiquement du logiciel malveillant, incluant un accès non autorisé et une exfiltration de données d’identifiants ciblée, dans un ensemble limité de dépôts de code source internes auxquels les deux employés affectés avaient accès. Nous avons confirmé que seules des informations d’identification limitées ont été effectivement exfiltrées depuis ces dépôts et qu’aucune autre donnée ni aucun autre code n’a été compromis.
Nous avons agi immédiatement pour contenir l’activité. Nous avons isolé les systèmes et identités concernés, révoqué les sessions utilisateur, renouvelé l’ensemble des identifiants des dépôts touchés, restreint temporairement les flux de déploiement de code et analysé en profondeur les comportements des utilisateurs et des identifiants. Dans le cadre de notre enquête, nous n’avons pas observé de preuve d’impact sur les données de la clientèle ni sur notre propriété intellectuelle, et notre analyse n’a révélé aucun usage abusif des identifiants compromis ni d’accès ultérieur par l’acteur malveillant.
Les dépôts de code source concernés incluaient des certificats de signature pour nos produits, notamment iOS, macOS et Windows. Par conséquent, nous procédons au renouvellement des certificats de signature de code à titre préventif, ce qui nécessitera une mise à jour des applications macOS par les utilisateurs. Aucune action n’est requise pour les applications Windows et iOS. Des instructions supplémentaires seront fournies aux utilisateurs et utilisatrices macOS concernant ces mises à jour obligatoires.
En plus du renouvellement des certificats, nous coordonnons nos actions avec les fournisseurs de plateformes afin d’empêcher toute utilisation non autorisée de ces certificats en bloquant les nouvelles procédures de notarisation. Nous avons également passé en revue toutes les notarisations de logiciels utilisant nos anciens certificats afin de confirmer qu’aucune signature inattendue n’a été effectuée avec ces clés, et nous avons validé que nos logiciels publiés n’ont subi aucune modification non autorisée. Nous n’avons trouvé aucune preuve de compromission ni de risque pour les installations logicielles existantes.
Une fois que nous aurons entièrement révoqué notre certificat le 12 juin 2026, les nouveaux téléchargements et lancements d’applications signées avec l’ancien certificat seront bloqués par les protections de sécurité de macOS.
Après l’incident Axios, nous avons accéléré le déploiement de contrôles de sécurité et de technologies spécifiques afin de réduire l’impact d’attaques sur la chaîne d’approvisionnement logicielle comme celle-ci. Notre réponse en matière de sécurité a inclus un renforcement supplémentaire des informations d’identification sensibles utilisées dans notre pipeline CI/CD, le déploiement de configurations de gestionnaire de paquets intégrant des contrôles tels que minimumReleaseAge, ainsi que des logiciels de sécurité additionnels permettant de valider la provenance des nouveaux paquets.
Cet incident s’est produit pendant le déploiement progressif de ces contrôles, et les deux appareils des employés concernés ne disposaient pas des configurations mises à jour qui auraient empêché le téléchargement du nouveau paquet malveillant observé.
Cet incident reflète une évolution plus large du paysage des menaces : les attaquants ciblent de plus en plus les dépendances logicielles partagées et les outils de développement plutôt qu’une seule entreprise. Les logiciels modernes reposent sur un écosystème profondément interconnecté de bibliothèques open source, de gestionnaires de paquets et d’infrastructures d’intégration continue et de déploiement continu, ce qui signifie qu’une vulnérabilité introduite en amont peut se propager largement et rapidement entre les organisations. Nous continuons d’investir dans des contrôles qui valident l’intégrité et la provenance des composants tiers et de renforcer nos défenses contre ce type d’attaques de la chaîne d’approvisionnement à l’échelle de l’écosystème.
Les produits OpenAI ou les données des utilisateurs ont-ils été compromis?
Non. Nous n’avons trouvé aucune preuve que les produits OpenAI ou les données des utilisateurs ont été compromis ou exposés.
Avez-vous vu des maliciels signés comme OpenAI?
Non. Nous n’avons trouvé aucune preuve qu’un logiciel malveillant a été signé avec l’un des certificats d’OpenAI.
Dois-je changer mon mot de passe?
Non. Les mots de passe des clients/utilisateurs et les clés API n’ont pas été touchés.
Quelles plateformes sont touchées?
Nos clés de signature pour Windows, macOS, iOS et Android ont été touchées. Toutes nos applications sont en cours de re-signature et de nouvelle publication avec de nouveaux certificats. Les utilisateurs et utilisatrices macOS devront effectuer une mise à jour d’ici le 12 juin 2026 afin que les applications continuent de fonctionner correctement.
Pourquoi me demandez-vous de mettre à jour mes applications Mac?
La mise à jour garantit que vous utilisez des versions signées avec notre certificat le plus récent. Ce certificat permet à la clientèle de s’assurer que le logiciel provient bien du développeur légitime, OpenAI.
Où puis-je télécharger les applications macOS mises à jour?
Téléchargez les applications OpenAI uniquement à partir des mises à jour qui y sont intégrées ou des pages officielles ci-dessous :
N’installez pas d’applications provenant de liens dans des courriels, messages, publicités ou sites de téléchargement tiers. Méfiez-vous des installateurs inattendus « OpenAI », « ChatGPT » ou « Codex » envoyés par courriel, message texte, discussion, publicité, lien de partage de fichiers ou sites de téléchargement tiers.
Que se passe-t-il après le 12 juin 2026?
À compter du 12 juin 2026, les anciennes versions de nos applis de bureau macOS ne recevront plus de mises à jour ni de soutien, et pourraient ne plus fonctionner. À compter du 12 juin 2026, les anciennes versions de nos applications de bureau macOS ne recevront plus de mises à jour ni de soutien, et pourraient ne plus fonctionner. Ces versions représentent les dernières versions publiées signées avec notre certificat obsolète :
- ChatGPT pour bureau : 1.2026.118
- Application Codex : 26.506.31421
- CLI Codex : 0.130.0
- Atlas : 1.2026.119.1
Pourquoi ne révoquez-vous pas le certificat immédiatement?
Nous avons travaillé à bloquer toute nouvelle notarisation d’applications macOS utilisant les éléments de notarisation concernés. Cela signifie que toute application frauduleuse se faisant passer pour une application OpenAI et utilisant le certificat compromis ne pourra pas être notarisée et sera donc bloquée par défaut par les protections de sécurité de macOS, sauf si l’utilisateur ou l’utilisatrice contourne explicitement ces protections. Comme toute nouvelle notarisation avec l’ancien certificat est désormais bloquée, et que la révocation peut entraîner le blocage par macOS des nouveaux téléchargements et des premiers lancements d’applications signées avec ce certificat, nous accordons à nos utilisateurs jusqu’au 12 juin 2026 pour effectuer la mise à jour afin de réduire les interruptions. Cette période vise à minimiser les risques pour les utilisateurs et à permettre à la clientèle concernée de se mettre à jour via les mécanismes de mise à jour intégrés, garantissant ainsi leur protection. Nous collaborons avec nos partenaires pour surveiller tout signe d’utilisation abusive du certificat de signature, et nous accélérerons le calendrier de révocation si nous détectons une activité malveillante durant cette période.
