OpenAI a lancé Advanced Account Security, une option de protection renforcée pour les comptes personnels ChatGPT. La cible : journalistes, chercheurs, militants et professionnels de la cybersécurité qui traitent des informations sensibles. La mesure centrale : l’élimination du mot de passe, remplacé par des passkeys ou des clés physiques FIDO.
Des passkeys et clés physiques en lieu et place du mot de passe
Quand Advanced Account Security est activée, ChatGPT n’accepte plus les connexions par e-mail, SMS ou mot de passe traditionnel. L’accès passe uniquement par des passkeys ou des clés physiques compatibles FIDO2, comme une YubiKey C Nano ou une YubiKey C NFC. OpenAI désactive aussi les procédures de récupération standard via ces canaux.
La logique est solide. Les mots de passe restent l’un des vecteurs d’attaque les plus exploités : réutilisation sur plusieurs services, exposition dans des bases de données compromises, capture par phishing. Les SMS ne valent guère mieux pour les comptes sensibles, vulnérables aux attaques SIM swap ou aux manipulations d’ingénierie sociale.
Les passkeys et les clés matérielles reposent sur la cryptographie asymétrique. Si un attaquant tente de rediriger un utilisateur vers un faux site, la clé refuse d’authentifier la connexion. C’est précisément cet avantage qui les rend pertinentes pour les profils à haut risque.
OpenAI a noué un partenariat avec Yubico pour proposer des bundles de clés à tarif préférentiel aux utilisateurs éligibles. La YubiKey C Nano, conçue pour rester branchée sur un laptop, et la YubiKey C NFC pour les appareils secondaires sont parmi les options proposées. Aucune obligation d’acheter une YubiKey : d’autres clés FIDO ou des passkeys logicielles fonctionnent aussi.
Un verrouillage qui se mérite : récupération de compte stricte
La contrepartie de ce niveau de protection, c’est un processus de récupération bien plus exigeant. Pour activer la fonction, l’utilisateur doit configurer au moins deux méthodes de connexion sécurisées, dont une compatible multi-appareils, et sauvegarder des codes de récupération.
Si toutes les passkeys, clés physiques et codes de récupération sont perdus, OpenAI ne peut pas intervenir par les voies habituelles. Pas de reset par e-mail, pas de désactivation de la protection, pas de contournement via le support. Chaque code de récupération n’est utilisable qu’une seule fois, et il est possible d’en générer de nouveaux si les anciens sont compromis.
La fonctionnalité introduit aussi un délai de 48 heures après le démarrage d’une récupération avec un code valide. Ce verrou forcé vise à ralentir un attaquant qui aurait mis la main sur un code : il donne à l’utilisateur légitime le temps de réagir. Pour des comptes contenant du code source, des documents confidentiels ou des workflows connectés à d’autres services, ce délai peut faire toute la différence.
Sessions réduites et données exclues de l’entraînement
Advanced Account Security réduit la durée des sessions actives. Les utilisateurs se reconnectent plus souvent, ce qui limite l’exposition en cas de session interceptée ou d’appareil compromis. La fonctionnalité envoie des notifications à chaque nouvelle connexion et centralise la gestion des sessions ouvertes sur différents appareils.
Sur le plan de la vie privée : avec cette option activée, les conversations du compte ne servent plus à entraîner les modèles OpenAI. Un avantage direct pour ceux qui travaillent avec des données sensibles, sans paramétrage supplémentaire.
La protection couvre à la fois ChatGPT et Codex lorsqu’ils sont accessibles avec le même compte. C’est un point à ne pas négliger pour les développeurs : Codex peut être intégré dans des environnements de développement, des dépôts de code ou des pipelines CI/CD contenant du code propriétaire. Protéger l’accès à ce niveau revient à sécuriser la chaîne de développement dans son ensemble. On observe d’ailleurs des acteurs comme HPE qui intègrent l’IA dans leurs architectures réseau pour automatiser la détection des anomalies, signe que la sécurité des accès et de l’infrastructure convergent.
OpenAI rattache cette fonctionnalité à son programme Trusted Access for Cyber. À partir du 1er juin 2026, les utilisateurs et organisations accédant aux modèles avancés de cybersécurité devront avoir activé Advanced Account Security, ou démontrer qu’ils utilisent une authentification résistante au phishing via leur SSO.
Comptes personnels pour l’instant, entreprises en ligne de mire
Advanced Account Security est pour l’instant réservée aux comptes personnels ChatGPT dans les régions compatibles. Elle n’est pas disponible pour ChatGPT Enterprise ni pour les comptes gérés par des organisations ou rattachés à des domaines d’entreprise. Ces environnements disposent déjà de leurs propres politiques de sécurité : SSO, MFA, gestion des appareils et contrôles d’accès centralisés.
OpenAI prévoit d’étendre ces mécanismes aux environnements professionnels. À mesure que ChatGPT et Codex s’intègrent aux flux de travail d’entreprise, la sécurité des identités devient aussi critique que celle des données et des API. Dans un contexte corporate, cela devra s’articuler avec des audits, des politiques de permissions centralisées et une gestion des accès à grande échelle.
Anthropic travaille de son côté à intégrer Claude Security dans son offre Max, sans date fixée pour l’instant. Le mouvement des grands acteurs de l’IA vers une sécurité de compte plus robuste est clair : les comptes liés à des outils d’IA sont devenus des cibles à valeur élevée, et les mots de passe seuls ne suffisent plus à les protéger.
Questions fréquentes sur Advanced Account Security
Qu’est-ce qu’Advanced Account Security de ChatGPT ?
C’est une option de protection renforcée pour les comptes personnels ChatGPT qui supprime les mots de passe, impose des passkeys ou des clés FIDO, réduit la durée des sessions et exclut les conversations de l’entraînement des modèles.
Quelles clés physiques sont compatibles avec cette fonctionnalité ?
Toutes les clés matérielles conformes à FIDO2 fonctionnent, dont les YubiKey (C Nano, C NFC). Des passkeys logicielles sont aussi acceptées. OpenAI propose des bundles YubiKey à tarif réduit via son partenariat avec Yubico.
Que se passe-t-il si je perds toutes mes clés et codes de récupération ?
OpenAI avertit clairement que le support ne pourra pas récupérer le compte par les voies habituelles. La perte de tous les moyens d’accès peut mener à une perte définitive du compte. La sauvegarde sécurisée des codes de récupération est impérative avant d’activer la fonctionnalité.
Pourquoi OpenAI supprime-t-il le mot de passe sur ces comptes ?
Les mots de passe restent l’un des points d’entrée les plus vulnérables : phishing, bases de données compromises, réutilisation entre services. Les passkeys et clés FIDO reposent sur la cryptographie asymétrique et résistent nativement aux attaques de phishing.
Cette fonctionnalité est-elle disponible pour les entreprises ?
Non pour l’instant. Advanced Account Security ne s’applique qu’aux comptes personnels dans les régions compatibles. Les comptes ChatGPT Enterprise et ceux gérés par des organisations ont leurs propres mécanismes de sécurité.
Mes conversations seront-elles utilisées pour entraîner les modèles d’OpenAI ?
Non. Avec Advanced Account Security activée, les conversations du compte sont exclues de l’entraînement des modèles OpenAI, sans paramétrage supplémentaire.
