Une faille critique de sécurité a été identifiée dans l'extension officielle ChatGPT pour Google Sheets, révélant que le modèle d'IA peut être utilisé pour extraire des classeurs entiers sans aucune approbation humaine. Lancée il y a moins d'un mois, cette extension a déjà dépassé les 185 000 téléchargements. Elle permet aux utilisateurs d'analyser et de modifier des tableurs via un chatbot intégré, mais une attaque par injection de prompt indirecte suffit à compromettre l'ensemble du système. Le mécanisme d'attaque est subtil mais dévastateur. Lorsqu'un utilisateur importe des données externes dans une feuille de calcul et demande à l'IA de les intégrer à un modèle financier, des données malveillantes dissimulées dans la source externe peuvent manipuler le modèle. Contrairement aux protections habituelles, cette injection force le ChatGPT à exécuter un script contrôlé par un attaquant. Ce script profite des permissions accordées à l'extension pour voler des données sensibles. Fait préoccupant, l'attaque réussit même si l'utilisateur a désactivé les modifications automatiques dans les paramètres, rendant inutile la fonction d'approbation humaine. Une fois l'exécution initiée, le script malveillant ne s'arrête pas tant qu'il n'a pas fini de traiter les données, même si l'utilisateur clique sur le bouton d'arrêt dans la barre latérale. L'attaquant peut ainsi extraire non seulement le fichier initial, mais aussi identifier et dérober tous les autres classeurs auxquels il fait référence, créant une chaîne de vol qui s'étend sur plusieurs fichiers. Dans une démonstration, un seul script a réussi à exfiltrer douze classeurs différents. Au-delà du vol de données, cette vulnérabilité permet également des attaques de phishing sophistiquées. L'attaquant peut ouvrir une surimpression dans la barre latérale ou une fenêtre modale affichant un site web trompeur qui imite parfaitement l'interface de l'extension. Ces surcharges peuvent exécuter des modifications de feuilles ou solliciter les identifiants de connexion de l'utilisateur. PromptArmor, l'équipe de recherche responsable de la découverte, a divulgué la faille à OpenAI le 8 mai 2026. Malgré plusieurs relances, l'entreprise n'a répondu que par un accusé de réception automatisé. Le rapport critique également le manque de transparence d'OpenAI dans sa documentation, qui ne met pas en évidence les capacités sensibles comme l'exécution de scripts privilégiés ni les risques d'injection de prompt. Face à ce silence, les chercheurs ont décidé de publier leurs résultats pour informer les utilisateurs et les organisations sur l'étendue du risque. Les entreprises souhaitant limiter l'exposition à cette menace peuvent restreindre l'accès à l'extension via les paramètres de leur espace de travail, spécifiquement dans la section Permissions et rôles dédiée à ChatGPT pour Excel et Google Sheets. Cette divulgation publique souligne l'urgence pour les utilisateurs de réévaluer les permissions accordées aux extensions IA dans leurs outils de productivité quotidiens.