Présentation

Lorsque vous utilisez les services d'OpenAI, il est important de veiller à la sécurité de votre clé API et de votre compte. Protégez-vous contre les fuites de clés API et les prises de contrôle de compte grâce à ces bonnes pratiques.

Protégez votre compte

La sécurité est une responsabilité partagée. OpenAI s'efforce de protéger l'accès aux comptes, et ces mesures peuvent contribuer à réduire le risque d'utilisation non autorisée. Si des identifiants de compte sont utilisés sans autorisation, signalez le problème dès que possible.

Prévenez les fuites de clés API.

Une clé API est le code d'accès utilisé pour appeler l'API OpenAI. Si elle est divulguée, des utilisateurs non autorisés pourraient accéder à l'API par l'intermédiaire de votre compte. Cela peut entraîner des frais non autorisés ou une activité qui enfreint nos conditions d'utilisation.

Utilisez des variables d'environnement

Stockez votre clé API dans des variables d'environnement au sein de votre environnement de développement. Cela permet d'éviter que la clé ne se retrouve dans le code de l'application et réduit le risque d'exposition.

Si vous utilisez GitHub Actions, utilisez les secrets GitHub pour stocker votre clé API.

Faites preuve de prudence avec les produits tiers

Faites preuve de prudence avec les bibliothèques, les frameworks et les outils tiers qui demandent l'accès à votre clé API. Même si un produit semble digne de confiance, il existe toujours un risque de divulgation de clés ou d'utilisation abusive.

Avant d'utiliser un produit tiers nécessitant votre clé API, examinez attentivement l'entreprise et le produit. Consultez les avis, lisez la politique de confidentialité et recherchez d'éventuelles préoccupations en matière de sécurité soulevées par la communauté.

Définissez des limites de dépenses raisonnables

Définissez plusieurs seuils de dépenses, comme 90 % et 95 %, par rapport à un budget mensuel au niveau de l'organisation ou du projet pour surveiller les dépenses mensuelles.

Configurez des destinataires e-mail personnalisés pour les intégrer à des listes de diffusion, des plateformes de gestion des incidents et des plateformes de messagerie. Vous pouvez configurer cela dans les paramètres de la plateforme.

Ne transmettez pas votre clé API.

Il peut être tentant d'intégrer votre clé API directement dans une application pour éviter d'avoir à exécuter un serveur pour une application mobile ou un cas d'utilisation similaire. Cependant, cela rend la clé API vulnérable à une utilisation abusive.

Réaliser des revues de code approfondies

Avant de publier du code vers des dépôts publics, vérifiez-le pour vous assurer qu'aucune information sensible, comme des clés API, n'est exposée.

Utilisez des outils d'analyse automatisée capables d'identifier les fuites potentielles. Vous pouvez également consulter le tutoriel de GitHub sur l'analyse des secrets pour obtenir davantage de conseils.

Lorsqu'OpenAI détecte une clé API sur Internet public ou qu'elle a fuité dans une application disponible sur une boutique d'applications, la clé API est immédiatement désactivée.

Mettre en œuvre la rotation des clés

Renouvelez régulièrement vos clés API en supprimant les anciennes clés et en créant de nouvelles via le tableau de bord des clés API.

Prévenir les usurpations de compte

Une prise de contrôle de compte se produit lorsqu'une personne obtient un accès non autorisé à votre compte, utilise potentiellement les services OpenAI via celui-ci et en fait supporter les frais au titulaire du compte.

Utilisez des mots de passe forts ou l'authentification Google

Si vous utilisez un mot de passe, utilisez une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Nous recommandons d'utiliser un gestionnaire de mots de passe pour générer et stocker vos mots de passe.

Mettez à jour votre mot de passe tous les quelques mois.

Activer l'authentification multifacteur (MFA)

Activer l'authentification multifacteur (MFA) pour ajouter une étape de vérification supplémentaire, généralement via votre téléphone.

Même si quelqu'un obtient votre mot de passe, il aurait tout de même besoin du deuxième facteur pour accéder à votre compte.

L'activation de l'authentification multifacteur (MFA) n'annule pas les connexions en cours. Pour bloquer toute personne qui accède déjà à votre compte, réinitialisez d'abord votre mot de passe, puis activez l'authentification multifacteur (MFA).

Utilisez la sécurité avancée du compte

Pour les comptes ChatGPT pour les particuliers éligibles, la sécurité avancée du compte ajoute des exigences de connexion renforcées et des mesures de protection du compte plus strictes. Cette fonctionnalité n'est pas disponible pour les utilisateurs de ChatGPT Enterprise, les comptes gérés par une entreprise ou les comptes associés à un domaine géré par une entreprise.

Faites preuve de prudence avec les e-mails et les liens.

Faites preuve de prudence avec les e-mails qui demandent des identifiants ou redirigent les utilisateurs vers des pages web nécessitant les informations de leur compte.

Vérifiez toujours l'adresse e-mail et l'URL afin de vous assurer qu'elles proviennent d'une source fiable.

Répondre à une compromission suspectée

Si vous pensez que votre clé API a été compromise ou si vous soupçonnez une activité non autorisée sur votre compte, agissez sans attendre.

Supprimez vos clés API

Supprimez vos clés API via le tableau de bord des clés API.

OpenAI propose également le suivi de l'utilisation par clé API. Cela facilite la consultation de l'utilisation par fonctionnalité, équipe, produit ou projet en utilisant des clés API distinctes pour chacun.

Contactez l'assistance OpenAI

Plus vous signalez le problème tôt, plus OpenAI pourra vous aider à le résoudre rapidement et à limiter les dommages potentiels. Contactez l'équipe d'assistance d'OpenAI en ouvrant une nouvelle discussion sur n'importe quelle page du centre d'aide.

Veuillez examiner l'activité de votre compte

Recherchez toute activité inhabituelle sur le compte, comme une utilisation inattendue de l'API. Les informations que vous fournissez peuvent faciliter la récupération de votre compte.

Déconnectez-vous de tous les appareils

Vous pouvez vous déconnecter de toutes vos sessions actives sur tous les appareils.

Dans ChatGPT, accédez aux Paramètres > Sécurité. Sélectionnez Se déconnecter de tous les appareils. Ceci désactive les sessions ChatGPT actives.

Sur la plateforme, accédez à Votre profil > Sécurité. Sélectionnez Se déconnecter de tous les appareils. Ceci désactive les sessions actives sur la plateforme.

Il peut s'écouler jusqu'à 30 minutes avant que les autres sessions ChatGPT ne soient déconnectées.