Outils / Actualités / Le chef cyber des USA a partagé des fichiers à ChatGPT
Presse

Le chef cyber des USA a partagé des fichiers à ChatGPT

· VaultTools

Le directeur par intérim de la CISA, Madhu Gottumukkala, a téléversé en 2025 au moins quatre documents classifiés 'Usage officiel uniquement' dans ChatGPT public, déclenchant des alertes de sécurité DHS et une enquête interne. Révoqué en février 2026, il a précipité l'interdiction de ChatGPT, Claude et de tous les outils d'IA commerciaux pour les agents du DHS.

VaultTools · 20 mars 2026

Visualisation abstraite de l'intelligence artificielle, représentant les risques liés au téléversement de documents sur des plateformes d'IA. Photo de Steve Johnson sur Unsplash

Table des matières


Ce Qui S’est Passé

Entre mi-juillet et début août 2025, Madhu Gottumukkala, directeur par intérim de la Cybersecurity and Infrastructure Security Agency (CISA), a téléversé au moins quatre documents marqués « For Official Use Only » (Usage officiel uniquement) sur la plateforme publique ChatGPT d’OpenAI. Les téléversements ont été automatiquement signalés par les systèmes de surveillance de cybersécurité du DHS et ont déclenché une enquête interne impliquant la direction du Department of Homeland Security.

Politico a révélé l’affaire le 28 janvier 2026. Chercheurs en sécurité et membres du Congrès ont réagi avec consternation : le directeur par intérim de l’agence chargée de protéger l’infrastructure gouvernementale américaine avait fait exactement ce contre quoi la CISA mettait en garde ses agents.

Pourquoi La CISA Avait Déjà Restreint ChatGPT

La CISA avait bloqué l’accès à ChatGPT pour la majorité de ses agents avant les téléversements de Gottumukkala. La justification officielle était que les fichiers et textes soumis à la version publique de ChatGPT peuvent être conservés par OpenAI sur ses serveurs et potentiellement intégrés aux données d’entraînement des modèles, rendant des contenus sensibles accessibles à des centaines de millions d’utilisateurs dans le monde.

Gottumukkala avait personnellement demandé et obtenu une dérogation spéciale à cette restriction. Les documents qu’il a téléversés n’étaient pas classifiés mais portaient la mention « For Official Use Only », une catégorie destinée aux informations qui, sans être secrètes, comportent un risque de préjudice en cas de divulgation.

L’enquête Et Ses Suites

Le DHS a ouvert une enquête interne après les alertes automatiques. Le sénateur Chuck Grassley a adressé une lettre formelle à la CISA le 5 février 2026, demandant un compte rendu complet des téléversements et des mesures correctives prises. Gottumukkala a été révoqué de son poste de directeur par intérim le 27 février 2026.

L’interdiction Des IA Commerciales Dans Tout Le Ministère

À la suite de l’incident, le Department of Homeland Security a demandé à ses agents de cesser d’utiliser les outils d’IA commerciaux, dont ChatGPT et Claude, à des fins professionnelles. Les agents ont été redirigés vers DHSChat, une plateforme d’IA interne reposant sur des modèles qui ne conservent pas les contenus soumis et ne les exposent pas à l’extérieur. L’interdiction s’applique à l’ensemble des composantes du DHS, pas uniquement à la CISA.

Ce changement reflète une réalité politique vers laquelle de nombreuses entreprises et gouvernements convergent : les outils d’IA commerciaux avec traitement côté cloud sont incompatibles avec la manipulation de documents sensibles, quelle que soit la manière dont l’outil est présenté.

Ce Que L’incident Révèle Sur Les Téléversements De Fichiers

L’épisode CISA est remarquable parce qu’il ne concerne pas un agent junior imprudent, mais le directeur par intérim de l’agence dont la mission est la cybersécurité fédérale. Il démontre que le risque lié au traitement de fichiers côté cloud n’est pas hypothétique et ne nécessite pas une intrusion : l’acte de téléverser un fichier sur un service cloud est en lui-même l’événement d’exposition.

Lorsqu’un fichier est soumis à un outil basé sur le cloud, qu’il s’agisse d’un assistant IA, d’un convertisseur PDF, d’un compresseur d’images ou d’un traducteur de documents, il transite vers un serveur distant. Ce que ce serveur conserve, journalise ou fait du contenu est entièrement régi par les conditions d’utilisation et l’infrastructure du service. L’utilisateur n’a plus ni visibilité ni contrôle une fois le fichier quitté l’appareil.

Les outils basés sur le navigateur qui traitent les fichiers via WebAssembly ne reçoivent jamais le fichier sur aucun serveur. Le document est lu depuis le disque, traité dans l’onglet du navigateur et réécrit sur le disque. Il n’y a pas de téléversement, pas de politique de rétention et pas de serveur à surveiller ou à auditer. C’est l’architecture que la politique du DHS tente désormais de répliquer grâce à des outils internes.


Sources