OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Comment protéger mes comptes OpenAI?

Protégez votre compte contre la fraude grâce à ces bonnes pratiques.

Mise à jour : 19 minutes ago

Communiquez immédiatement avec le soutien d’OpenAI si vous craignez que votre compte ou votre clé API ait été compromis. Vous pouvez joindre le soutien d’OpenAI en ouvrant une nouvelle conversation dans le coin inférieur droit de n’importe quelle page du centre d’assistance.

Aperçu

Lorsque vous utilisez les services OpenAI, il est important de protéger à la fois votre clé API et votre compte. Protégez-vous contre les fuites de clés API et les prises de contrôle de compte grâce à ces pratiques exemplaires.

Protéger votre compte

La sécurité est une responsabilité partagée. OpenAI s’efforce de protéger l’accès aux comptes, et ces mesures peuvent aider à réduire le risque d’utilisation non autorisée. Si les identifiants du compte sont utilisés sans autorisation, signalez le problème dès que possible.

Prévenir les fuites de clés API

Une clé API est le code d’accès utilisé pour appeler l’API OpenAI. Si elle est divulguée, des utilisateurs non autorisés pourraient accéder à l’API au moyen de votre compte. Cela peut entraîner des frais non autorisés ou une activité qui enfreint nos conditions d’utilisation.

Utiliser des variables d’environnement

Stockez votre clé API dans des variables d’environnement au sein de votre environnement de développement. Cela aide à garder la clé hors du code de l’application et réduit le risque d’exposition.

Si vous utilisez GitHub Actions, utilisez les secrets GitHub pour stocker votre clé API.

Faire preuve de prudence avec les produits tiers

Faites preuve de prudence avec les bibliothèques, cadres et outils tiers qui demandent l’accès à votre clé API. Même si un produit semble digne de confiance, il existe toujours un risque d’exposition ou d’utilisation abusive de la clé.

Avant d’utiliser un produit tiers qui exige votre clé API, examinez attentivement l’entreprise et le produit. Consultez les avis, lisez la politique de confidentialité et recherchez les préoccupations en matière de sécurité soulevées par la communauté.

Définir des limites de dépenses raisonnables

Définissez plusieurs seuils de dépenses, comme 90 % et 95 %, par rapport à un budget mensuel au niveau de l’organisation ou du projet afin de surveiller les dépenses mensuelles.

Configurez des destinataires de courriel personnalisés pour l’intégration aux listes de diffusion, aux plateformes de gestion des incidents et aux plateformes de messagerie. Vous pouvez configurer cela dans les paramètres de Platform.

Ne distribuez pas votre clé API

Il peut être tentant d’intégrer votre clé API directement dans une application pour éviter d’exécuter un serveur pour une application mobile ou un cas d’utilisation similaire. Toutefois, cela rend la clé API vulnérable à une utilisation abusive.

Effectuer des revues de code approfondies

Avant de pousser du code vers des dépôts publics, examinez-le pour vous assurer qu’aucune information sensible, comme des clés API, n’est exposée.

Utilisez des outils d’analyse automatisée capables de signaler les fuites potentielles. Vous pouvez également consulter le tutoriel de GitHub sur l’analyse des secrets pour obtenir plus d’indications.

Lorsqu’OpenAI détecte une clé API sur Internet public ou divulguée dans une application d’une boutique d’applications, la clé API est désactivée immédiatement.

Mettre en œuvre la rotation des clés

Changez périodiquement vos clés API en supprimant les anciennes et en en créant de nouvelles dans le tableau de bord des clés API.

Prévenir les prises de contrôle de compte

Une prise de contrôle de compte se produit lorsqu’une personne obtient un accès non autorisé à votre compte, utilise potentiellement les services OpenAI par son intermédiaire et laisse la facture au titulaire du compte.

Utiliser des identifiants de connexion forts et uniques

Si vous utilisez un mot de passe, utilisez un mot de passe unique que vous ne réutilisez pas sur d’autres sites. Nous recommandons d’utiliser un gestionnaire de mots de passe pour générer et stocker les mots de passe.

Changez votre mot de passe sans tarder si vous pensez qu’il a été exposé, réutilisé ou partagé.

Activer l’authentification multifacteur (AMF)

Activez l’authentification multifacteur (AMF) pour ajouter une étape de vérification lors de la connexion. Pour en savoir plus, consultez : Activer ou désactiver l’authentification multifacteur (AMF).

Même si une personne obtient votre mot de passe, elle aurait tout de même besoin du second facteur pour accéder à votre compte.

L’activation de l’AMF n’annule pas les connexions existantes. Pour bloquer les utilisateurs qui accèdent déjà à votre compte, réinitialisez d’abord votre mot de passe, puis activez l’AMF.

Si vous voulez une protection de compte adossée à du matériel et que vous n’avez pas encore de clé de sécurité, les utilisateurs OpenAI admissibles peuvent en apprendre davantage sur l’offre groupée OpenAI + Yubico YubiKey. Pour en savoir plus, consultez : Offre groupée OpenAI + Yubico YubiKey.

Utiliser la sécurité avancée du compte

Pour les comptes ChatGPT grand public admissibles, la sécurité avancée du compte ajoute des exigences de connexion plus strictes et des mesures de protection du compte renforcées. Pour en savoir plus, consultez : Sécurité avancée du compte. Elle n’est pas offerte aux utilisateurs de ChatGPT Enterprise, aux comptes gérés par une entreprise ni aux comptes associés à un domaine géré par une entreprise.

Faire preuve de prudence avec les courriels et les liens

Faites preuve de prudence avec les courriels qui demandent des identifiants ou qui dirigent les utilisateurs vers des pages Web exigeant des renseignements de compte.

Vérifiez toujours l’adresse courriel et l’URL pour vous assurer qu’elles proviennent d’une source fiable.

Réagir à une compromission présumée

Si vous pensez que votre clé API a été compromise, ou si vous soupçonnez une activité non autorisée sur votre compte, agissez rapidement.

Supprimer vos clés API

Supprimez vos clés API à partir du tableau de bord des clés API.

OpenAI prend également en charge le suivi de l’utilisation par clé API. Cela permet de consulter plus facilement l’utilisation par fonctionnalité, équipe, produit ou projet en utilisant des clés API distinctes pour chacun.

Communiquer avec le soutien d’OpenAI

Plus vous signalez le problème rapidement, plus OpenAI peut aider à le résoudre rapidement et à réduire les dommages potentiels. Communiquez avec le soutien d’OpenAI en ouvrant une nouvelle conversation sur n’importe quelle page du centre d’assistance.

Examiner l’activité du compte

Vérifiez s’il y a une activité inconnue dans le compte, comme une utilisation inattendue de l’API. Les détails que vous fournissez peuvent faciliter la récupération du compte.

Se déconnecter de toutes les sessions

Vous pouvez vous déconnecter de toutes les sessions actives sur tous les appareils. Pour obtenir des instructions, consultez : Se déconnecter de toutes les sessions.

Dans ChatGPT :

  1. Accédez à Paramètres.

  2. Sélectionnez Sécurité.

  3. Sélectionnez Sessions actives.

  4. Trouvez Se déconnecter de toutes les sessions.

  5. Sélectionnez Tout déconnecter.

  6. Dans la fenêtre modale de confirmation, sélectionnez Se déconnecter de tous les appareils.

Cette action vous déconnecte de toutes les sessions actives sur tous les appareils, y compris votre session actuelle. Cela peut prendre jusqu’à 30 minutes.

Sur Platform, accédez à Votre profil > Sécurité, puis sélectionnez Se déconnecter de tous les appareils.

La déconnexion des autres sessions ChatGPT peut prendre jusqu’à 30 minutes.

Cet article vous a-t-il été utile?