Une nouvelle vulnérabilité critique a été révélée concernant l’utilisation du Mode développeur et du protocole Model Context (MCP) dans ChatGPT, mettant en garde contre les risques d’attaques par injection de prompt via les courriels. Cette menace a été démontrée par Eito Miyamura, chercheur à l’Université d’Oxford, dans une expérience montrant comment le MCP, un protocole lancé par Anthropic à la fin 2024, peut être exploité pour exfiltrer des données sensibles. Ce protocole, conçu pour permettre aux modèles d’intelligence artificielle comme ChatGPT d’interagir directement avec des applications externes — notamment Gmail, Google Calendar et d’autres services — ouvre la porte à de graves risques de sécurité si mal configuré. L’attaque repose sur une technique appelée « injection de prompt » : un attaquant envoie simplement un calendrier invitant à une réunion contenant des instructions malveillantes intégrées dans le texte de l’invitation. Lorsque ChatGPT, activé en mode développeur et connecté à un compte email, traite cet événement, il exécute automatiquement les commandes cachées. Sans aucune interaction de l’utilisateur, l’IA peut ainsi accéder à l’ensemble de la boîte de réception, lire des messages privés, extraire des documents confidentiels, révéler des mots de passe stockés ou divulguer des informations sensibles comme des rapports financiers, des secrets commerciaux ou des données bancaires. Ce scénario est particulièrement préoccupant car l’attaquant n’a besoin que de l’adresse email de la victime pour lancer l’attaque. Le fait que le protocole MCP autorise une interaction automatique entre l’IA et les services externes, sans validation explicite, amplifie considérablement le risque. Même une simple invitation de réunion peut devenir un vecteur d’ingress pour des attaques sophistiquées, exploitant la confiance que l’utilisateur accorde à l’IA. Le protocole MCP, bien qu’innovant et prometteur pour améliorer l’efficacité des assistants IA, soulève des questions majeures sur la sécurité des données personnelles et professionnelles. Il illustre un paradoxe croissant : plus les modèles d’IA sont intégrés aux systèmes réels, plus ils deviennent des cibles stratégiques pour les cybercriminels. En réponse à ces dangers, les experts recommandent de désactiver le mode développeur et l’accès aux services externes si ces fonctionnalités ne sont pas strictement nécessaires. Il est également essentiel de vérifier scrupuleusement les invitations aux événements, surtout celles provenant d’expéditeurs inconnus, et de limiter l’interaction entre l’IA et les comptes personnels. Les entreprises doivent renforcer leurs politiques de sécurité autour des outils d’IA, notamment en évaluant les risques liés aux protocoles d’interaction ouverte comme le MCP. En résumé, bien que le MCP ouvre des perspectives fascinantes pour l’automatisation et l’efficacité, il expose également à des menaces inédites. L’usage de ces fonctionnalités doit être accompagné d’une vigilance accrue, car une simple invitation de calendrier peut devenir une porte d’entrée pour des fuites de données catastrophiques.