Apple a révélé qu’un ancien employé, parti chez OpenAI, a exploité un bug d’authentification encore inconnu (zero-day) pour télécharger des dizaines de fichiers confidentiels sur les produits non publiés de la marque. La plainte, déposée vendredi devant un tribunal fédéral californien, allègue un vol organisé de secrets industriels.
Dans sa plainte de 41 pages consultée par TechCrunch et confirmée par plusieurs médias, Apple identifie l’ancien employé comme Chang Liu, un ingénieur système électronique. Selon le document, Liu aurait « exploité un bug d’authentification rare, précédemment inconnu » pour accéder au réseau interne d’Apple après avoir quitté l’entreprise pour rejoindre OpenAI. Ce type de faille est qualifiée de zero-day, ce qui signifie qu’Apple n’a pas eu le temps de la corriger avant qu’elle ne soit exploitée.
Apple affirme que Liu a téléchargé « des dizaines de fichiers confidentiels liés au hardware » sur plusieurs semaines, alors qu’il était déjà employé par OpenAI. Les fichiers contiendraient « des informations détaillées sur des produits non publiés, des présentations techniques, des spécifications et des données de projet propriétaires », selon la plainte. Apple a depuis corrigé le bug et coupé l’accès de l’employé.
L’ancien ingénieur n’aurait pas restitué son MacBook professionnel, ce qui lui aurait permis de continuer à accéder au réseau interne d’Apple. Selon la plainte, Liu aurait également utilisé l’ordinateur d’une collègue, Yu-Ting Peng, alors encore employée chez Apple et partie depuis chez OpenAI. « LOL, j’ai découvert que j’ai accès au [stockage réseau], c’est drôle », aurait écrit Liu à Peng, d’après le document judiciaire.
Apple a demandé un procès devant jury. L’affaire a été assignée à la Cour de district des États-Unis pour le district nord de la Californie, à San Jose. De son côté, OpenAI a déclaré n’avoir « aucun intérêt dans les secrets commerciaux d’autres entreprises », dans un message publié sur X (anciennement Twitter).
Ce n’est pas la première fois que des anciens employés posent un problème de sécurité après leur départ. Selon TechCrunch, la gestion des accès après le départ d’un employé constitue un défi majeur pour les entreprises technologiques. Les sociétés qui ne désactivent pas complètement les accès de leurs anciens employés peuvent faire face à des fuites de données ou à des actions malveillantes. Apple n’a pas répondu aux questions de TechCrunch sur le moment où elle a désactivé les accès de Liu.
La plainte d’Apple s’inscrit dans un contexte plus large de concurrence entre les deux entreprises dans le domaine de l’intelligence artificielle. OpenAI développe son propre matériel pour concurrencer l’iPhone, selon des informations non confirmées par l’entreprise. Apple affirme dans son document judiciaire que « l’activité matérielle naissante d’OpenAI repose désormais sur les fondations les plus fragiles, pourries jusqu’à la moelle par sa dépendance illégale à des secrets commerciaux détournés ».
L’affaire illustre les difficultés croissantes des grandes entreprises technologiques à protéger leurs secrets industriels dans un environnement de guerre des talents. Les employés qualifiés changent fréquemment d’employeur, emportant avec eux des connaissances sensibles. La question de la désactivation des accès informatiques après un départ est devenue un enjeu central de sécurité pour l’ensemble du secteur.
