Des chercheurs en cybersécurité ont réussi à exploiter une faille dans ChatGPT pour extraire discrètement des données sensibles depuis des boîtes de réception Gmail, sans que les utilisateurs s’en rendent compte. Cette attaque, baptisée Shadow Leak et publiée cette semaine par la société Radware, met en lumière les nouveaux risques liés aux assistants d’intelligence artificielle agissants — des outils capables d’agir autonomement sur Internet, comme naviguer, cliquer sur des liens ou accéder à des données personnelles après autorisation. L’attaque repose sur une faille liée au fonctionnement des agents IA, des assistants capables d’effectuer des tâches complexes sans surveillance constante. Ces outils, promus comme des alliés pour gagner du temps, peuvent accéder à des emails, calendriers, documents de travail, etc. Les chercheurs de Radware ont exploité cette fonctionnalité en utilisant une technique appelée prompt injection : une instruction cachée, difficile à détecter pour un humain, qui manipule l’agent IA pour qu’il exécute des actions non autorisées. Dans ce cas, l’agent utilisé était Deep Research, un outil intégré à ChatGPT lancé plus tôt cette année. Les chercheurs ont inséré une instruction cachée dans un email envoyé à une boîte Gmail accessible par Deep Research. Cette instruction, invisible à l’œil humain (par exemple, du texte blanc sur fond blanc), attendait d’être activée. Dès que l’utilisateur tentait d’utiliser Deep Research, l’agent déclenchait la faille : il cherchait des emails RH, des informations personnelles et les transférait secrètement aux attaquants. Ce type d’attaque est particulièrement dangereux car elle se déroule directement sur les infrastructures cloud d’OpenAI, rendant les défenses classiques inopérantes. Contrairement à d’autres attaques de type prompt injection, celle-ci a fonctionné en exploitant le système d’exploitation interne de l’IA, ce qui la rend invisible aux outils de détection traditionnels. Le processus a nécessité de nombreux essais, des échecs répétés et une persévérance considérable. « Ce travail a été une montagne russe de tentatives infructueuses, de blocages frustrants, puis enfin une percée », ont confié les chercheurs. Radware précise que cette attaque était un démonstration de concept, mais qu’elle pourrait être reproduite sur d’autres applications connectées à Deep Research, comme Outlook, GitHub, Google Drive ou Dropbox. Le même mécanisme pourrait permettre d’extraire des données hautement sensibles : contrats, notes de réunion, informations clients, etc. OpenAI a rapidement corrigé la faille en juin, selon les chercheurs. Toutefois, cette découverte souligne les risques croissants liés à l’usage d’agents IA autonomes. Même si ces outils offrent des avantages indéniables, leur capacité à agir sans surveillance constante ouvre la porte à des abus graves, souvent imperceptibles pour les utilisateurs. La sécurité de ces systèmes devra désormais s’adapter à des menaces invisibles, cachées dans des instructions subtiles, et non dans des codes malveillants visibles.