Vendredi, Apple a annoncé une nouvelle explosive selon laquelle il poursuivait OpenAI pour vol présumé de secrets commerciaux, affirmant qu’OpenAI avait volé les données confidentielles d’Apple et s’était engagé dans des efforts pour obtenir des informations exclusives lors du recrutement d’anciens employés d’Apple.
En accusant OpenAI d’avoir volé des secrets sur les produits inédits d’Apple, Apple a révélé qu’un ancien employé aurait siphonné des tonnes de fichiers sensibles des dossiers réseau partagés de l’entreprise, des semaines après avoir quitté Apple pour un emploi chez OpenAI.
Dans sa plainte, Apple affirme que l’ancien employé, un ingénieur électricien système nommé Chang Liu, aurait « exploité un bug d’authentification rare et jusqu’alors inconnu » qui permettait d’accéder au réseau de l’entreprise. Le bug est classé comme vulnérabilité zero-day, ce qui signifie qu’Apple n’a pas eu le temps de le corriger avant qu’il ne soit prétendument exploité.
Apple a depuis corrigé le bug et a déclaré avoir mis fin à l’accès de l’employé une fois qu’il a eu connaissance de cette « faille de sécurité ». Dans sa plainte, Apple a déclaré que le bug aurait pu permettre à « quelques autres » personnes d’accéder aux données de son réseau, mais a allégué que seul Liu avait exploité le bug pour voler des informations confidentielles d’Apple alors qu’il n’était plus un employé, citant une vérification des journaux de son serveur.
La divulgation, bien que peu détaillée, met en évidence les défis auxquels les organisations sont confrontées pour protéger les données sensibles de l’entreprise une fois que les employés n’y travaillent plus. Les entreprises décident souvent de couper immédiatement tout accès au personnel qui part pour empêcher tout départ d’informations sensibles, y compris par inadvertance. Les entreprises qui ne parviennent pas à supprimer complètement les comptes de leurs employés peuvent être confrontées à de futures failles de sécurité, à des violations de données ou à des actions malveillantes de la part d’un personnel mécontent.
Les porte-parole d’Apple n’ont pas répondu à un e-mail de TechCrunch avec des questions sur la vulnérabilité de sécurité, comment elle a été exploitée et quand l’entreprise a mis hors service les informations d’identification de l’employé.
« MDR… tellement drôle. »
Dans la plainte, Apple a allégué que Liu avait pris « des dizaines de fichiers confidentiels liés au matériel Apple » au cours de plusieurs semaines alors qu’il était un nouvel employé d’OpenAI.
Apple a déclaré que les fichiers contenaient « des informations détaillées sur des produits inédits, des présentations techniques, des spécifications techniques et des données de projet exclusives ».
La société affirme que Liu n’a pas restitué l’ordinateur portable de travail fourni par Apple qu’il avait précédemment utilisé pour accéder au réseau d’Apple, ce qui suggère qu’il était autrefois capable d’envoyer et de recevoir des fichiers depuis les systèmes internes d’Apple. La plainte indiquait que Liu aurait prétendu avoir « un autre ordinateur ». Alors qu’il était chez OpenAI, Liu aurait également abusé de l’accès d’une connaissance, Yu-Ting Peng, un employé d’Apple de l’époque qui est ensuite allé travailler pour OpenAI. Liu aurait utilisé l’ordinateur portable de travail fourni par Apple de Peng « alors qu’elle était encore employée chez Apple et lui ne l’était pas ».
Apple a déclaré qu’en février 2026, Liu « a tenté d’accéder au stockage réseau d’Apple – un référentiel de fichiers basé sur le cloud contenant les fichiers d’ingénierie confidentiels d’Apple, la documentation du projet et d’autres informations exclusives ».
Liu aurait découvert qu’il « pouvait toujours accéder au référentiel réseau d’Apple après avoir quitté Apple, résultat d’une vulnérabilité d’authentification alors inconnue ».
Apple n’a pas décrit le « bug » d’authentification que Liu aurait utilisé pour accéder au réseau d’Apple. Cependant, les bogues d’authentification font généralement référence à des failles dans le processus de connexion qui permettent un accès inapproprié aux systèmes ou aux données, soit en raison d’une faiblesse dans le fonctionnement du mécanisme de connexion, soit en raison d’une mauvaise configuration, comme des autorisations trop larges ou la non-mise hors service des informations de connexion d’un ancien employé.
Apple a écrit dans sa plainte que lorsque Liu a appris qu’il avait un accès non autorisé aux systèmes d’Apple, il n’a pas signalé le bug à Apple dans le cadre de ses obligations en vertu de son contrat de travail, et n’a pas non plus restitué son ordinateur portable de travail fourni par Apple.
La plainte ajoute que Liu n’a pas non plus « supprimé le programme qui permettait l’accès » au réseau d’Apple. La société n’a pas précisé quel programme ou quelle application Liu aurait utilisé pour accéder aux systèmes d’Apple. Il n’est pas rare que les employés disposent d’outils, tels qu’un VPN approuvé au travail ou une application de visualisation à distance, qui leur permettent d’accéder à des données sensibles depuis l’extérieur des bureaux de l’entreprise en utilisant leurs informations d’identification.
Étant donné que Liu avait déjà obtenu des informations d’identification sur le réseau d’Apple en tant qu’employé, TechCrunch a demandé à Apple quand la société avait mis hors service l’accès de Liu, mais nous n’avons pas eu de réponse.
Une fois que Liu aurait eu accès au partage réseau, il a écrit à Peng : « MDR, j’ai découvert que je pouvais accéder au (stockage réseau), c’est tellement drôle. »
Apple a déposé plainte auprès du tribunal de district américain du district nord de Californie à San Jose et a demandé un procès devant jury. OpenAI avait précédemment déclaré qu’elle n’avait «aucun intérêt dans les secrets commerciaux d’autres sociétés».
L’affaire, si elle aboutit, pourrait débuter cette année.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.

