En savoir plus
La popularité de ChatGPT, qui attire plus de 800 millions d’utilisateurs chaque semaine, vient de se confronter à un avertissement sérieux : la commodité a un prix.
Une menace émergente : ZombieAgent
La société de sécurité Radware a récemment présenté un nouveau type d’attaque, nommé “ZombieAgent”, qui pourrait transformer l’assistant IA en un voleur de données furtif, voire en un espion constant à l’intérieur des comptes des utilisateurs.
Cette méthode d’attaque tire parti des Connecteurs de ChatGPT, une fonctionnalité qui relie le chatbot à des services comme Gmail, Outlook, Google Drive, GitHub, Teams et Jira. Bien que ces intégrations soient destinées à optimiser l’utilisation de ChatGPT, elles offrent également aux attaquants une opportunité de collecter des informations sensibles à l’insu des utilisateurs.
Radware a montré plusieurs types d’attaques. Dans le cas d’une attaque sans clic, un attaquant envoie un email malveillant. Lorsque l’utilisateur demande à ChatGPT d’exécuter une tâche liée à Gmail, l’IA peut lire des instructions cachées dans l’email et transférer des données via les serveurs d’OpenAI avant même que l’utilisateur prenne connaissance du contenu.
Un variant d’attaque à un clic fonctionne de manière similaire, mais nécessite que l’utilisateur partage un fichier malveillant avec ChatGPT. Après avoir lu le fichier, le chatbot exécute des instructions pour fuiter des données ou pour modifier sa mémoire, permettant ainsi une extraction persistante. Cela signifie que les attaquants pourraient continuer à collecter des informations sensibles de chaque conversation, de manière indéfinie.
La persistance du ‘Zombie’
Ce qui distingue vraiment cette attaque, c’est sa durée dans le temps. D’ordinaire, si vous fermez une fenêtre de conversation, les instructions “empoisonnées” devraient disparaître. Cependant, le chatbot a maintenant une fonction de “Mémoire” qui lui permet de conserver des informations sur vous pour améliorer son aide.
Radware a découvert qu’il était possible de tromper l’IA afin qu’elle enregistre des règles malveillantes dans sa mémoire à long terme. Une fois ces règles installées, l’attaquant n’a plus besoin de renvoyer un autre email. À chaque nouvelle conversation, l’IA consulte sa mémoire, voit les règles de l’attaquant et continue de voler des données.
Un appel à la vigilance
“ZombieAgent met en lumière une faiblesse structurelle majeure dans les plateformes d’IA actuelles,” a averti Pascal Geenens, VP de l’Intelligence des Menaces chez Radware. “Les entreprises s’appuient sur ces agents pour prendre des décisions et accéder à des systèmes sensibles, mais elles n’ont pas de visibilité sur la manière dont ces agents interprètent le contenu non fiable ou sur les actions qu’ils exécutent dans le cloud. Cela crée un point aveugle dangereux que les attaquants exploitent déjà.”
Un contournement technique
ZombieAgent contourne les protections mises en place par OpenAI. Même si ChatGPT refuse désormais d’ajouter des paramètres aux URL, les attaquants peuvent utiliser des URLs spécifiques préconstruites pour fuir des données, lettre par lettre ou chiffre par chiffre. Cette astuce permet aux attaquants de transférer des informations sans que l’IA n’ait besoin de modifier les URLs.
Radware a commenté que “ce mélange d’accès étendu aux connecteurs et d’injection de prompts invisible amplifie considérablement l’impact réel et la faisabilité des attaques que nous décrivons.”
La vulnérabilité a été signalée à OpenAI via Bugcrowd en septembre 2025 et a été corrigée à la mi-décembre. Zvika Babo, chercheur chez Radware, a souligné qu’en dépit des correctifs, les risques fondamentaux d’injection de prompts indirects persistent. Les attaques soulignent à quel point il est facile de manipuler les agents d’IA par le contenu qu’ils sont censés lire et traiter.
Implications pour les utilisateurs
Maintenant que la faille “ZombieAgent” a été colmatée, le problème sous-jacent demeure : les modèles d’IA ont toujours du mal à différencier une commande utile d’un utilisateur d’une instruction malveillante cachée dans un document ou un email.
Comme l’a souligné Geenens lors d’une interview, “Je compare parfois l’IA à un bébé avec un cerveau géant. Elle est très naïve, possède une vaste connaissance du monde et accède à tous vos secrets. Il n’est donc pas nécessaire d’effectuer un débordement de tampon ou de coder de façon spéciale. Il suffit de discuter avec elle et de la convaincre de faire quelque chose qu’elle n’était pas censée faire au départ.”
Pour le moment, la meilleure défense est d’être vigilant sur les applications que vous connectez à vos assistants IA et de vérifier régulièrement ce que votre IA a “retenu” à votre sujet dans ses paramètres.
À lire aussi : La dernière mise à jour de sécurité de ChatGPT Atlas d’OpenAI souligne pourquoi l’injection de prompts reste un défi permanent pour les agents d’IA.
FAQ
Qu’est-ce que ZombieAgent ?
ZombieAgent est une technique d’attaque qui exploite les connexions d’un assistant IA, permettant à des attaquants de voler des informations sensibles de manière furtive à l’intérieur des comptes des utilisateurs.
Comment puis-je protéger mes données ?
Soyez prudent quant aux applications que vous autorisez à se connecter à votre assistant IA et effectuez régulièrement des vérifications de la mémoire de l’IA pour voir quelles informations ont été stockées.
Les vulnérabilités sont-elles courantes dans les IA ?
Oui, les systèmes d’IA, y compris ChatGPT, sont souvent vulnérables à des attaques, car ils peuvent avoir du mal à distinguer entre des instructions utiles et des commandes malveillantes.
Que faire si je pense avoir été attaqué ?
Si vous suspectez une compromission, il est conseillé de changer vos mots de passe, de désactiver les connexions suspectes et de contacter les autorités compétentes si nécessaire.
La mémoire d’IA est-elle toujours utile ?
Bien qu’elle puisse améliorer l’interaction, la mémoire d’un assistant IA soulève également des préoccupations de sécurité, car elle peut être utilisée pour stocker des instructions malveillantes à l’insu de l’utilisateur.
