ChatGPT devient l’agent double des hackers pour dérober vos données sensibles depuis Gmail

Si les agents IA peuvent s’avérer très utiles, ils ne sont pas exempts de risques pour la sécurité des utilisateurs. Celui d’OpenAI, ChatGPT Agent, a été détourné afin de pirater en toute discrétion des données sensibles depuis des boîtes Gmail.

ChatGPT
Crédits : 123RF

Les intelligences artificielles progressent vers toujours plus de serviabilité. L’exemple emblématique ? Le développement d’agents IA, qui font office d’assistants virtuels capables d’agir de manière autonome et de gérer des tâches complexes, comme naviguer sur le web, cliquer sur des liens, accéder à des emails, des documents en ligne ou encore des agendas dès lors que l’accès leur a été consenti.

Mais cette serviabilité est à double tranchant. Si les agents IA aident les honnêtes gens, ils peuvent également servir des desseins moins louables. C’est ce que montre cette preuve de concept mise au point par la société de cybersécurité Radware. En effet, l’équipe est parvenue à détourner ChatGPT Agent pour siphonner des données sensibles depuis Gmail.

Lire aussi – Attention, des malwares peuvent se cacher derrière des images générées par IA. Voici comment s’en protéger

Ce piratage se sert de ChatGPT comme d’un agent double

Shadow Leak, c’est ainsi que Radware a surnommé son piratage. Il repose sur une injection d’invite (ou prompt injection), un type d’attaque presque impossible à bloquer sans connaître en amont l’exploit utilisé et d’autant plus redoutable que l’utilisateur ne se rend compte de rien. Il s’agit en effet d’instructions cachées, qui conduisent l’agent à travailler pour le compte du hacker, et non de l’utilisateur.

Dans le cas de Shadow Leak, c’est Deep Research, un outil d’OpenAI intégré à ChatGPT, qui a servi d’agent double selon nos confrères de The Verge. Voici le mode opératoire :

  • Radware insère une injection d’invite dans un email envoyé à une boîte Gmail à laquelle ChatGPT Agent a accès.
  • La cible lance Deep Research.
  • L’outil tombe sur les instructions dissimulées dans l’email.
  • Il se met à rechercher des données personnelles, puis les exfiltre.
  • À aucun moment, la victime ne s’en rend compte.

Radware reconnaît que réussir à extraire des données à l’insu de l’Agent n’était pas chose aisée : avant d’y parvenir, ils ont multiplié les échecs. Les données fuitaient depuis le cloud d’OpenAI, là où s’exécutait directement Shadow Leak, contrairement à la plupart des attaques par prompt injection. Les défenses classiques de cybersécurité ne pouvaient donc pas le détecter.

Cette preuve de concept alerte sur le fait que d’autres applications connectées à Deep Research, comme GitHub ou Google Drive, pourraient être vulnérables à de telles attaques. Si les chercheurs en cybersécurité affirment que cette faille a été corrigée par OpenAI dès juin dernier, elle met en lumière les risques inhérents aux agents IA, tels que les dangers liés à l’externalisation.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Ce logiciel gratuit utilisé par des millions de personnes a diffusé un cheval de Troie à son insu

Des hackers ont compromis le site officiel de JDownloader pour y glisser des installeurs piégés. La substitution est passée inaperçue pendant plus d’un jour. Si vous avez téléchargé le logiciel…

The Mandalorian & Grogu : date de sortie, histoire, casting, tout ce qu’il faut savoir sur le retour de Star Wars au cinéma

Le duo le plus célèbre de la galaxie s’apprête à franchir une nouvelle étape. Après trois saisons à succès sur petit écran, Din Djarin et son apprenti Grogu font le…

Des fuites chez Samsung, un logiciel Windows piégé par un malware, c’est le récap’ de la semaine

Samsung dévoile malgré lui ses futurs smartphones pliables, un malware menace les PC Windows, Xiaomi propose de booster vos anciens téléphones, c’est le récap’ de la semaine. Cette semaine, le…

Test Honor 600 Pro : un smartphone équilibré et vraiment convaincant

Après le Honor 600, c’est au tour de sa version « Pro » de passer à la moulinette de nos tests. Plus cher et, surtout, plus ambitieux, le Honor 600 Pro reprend…

L’iPhone 18 Pro aurait une nouvelle technologie d’écran, pour quels bénéfices ?

Apple intégrerait pour la première fois des écrans de technologie LTPO+ pour ses iPhone 18 Pro, plus performants que les affichages LTPO traditionnels. Les iPhone 18 Pro et 18 Pro…

L’aide à la rédaction par IA de Gmail s’améliore, voici ce qui change

L’outil d’aide à la rédaction par IA de Gmail devient plus pertinent en prenant désormais en compte le contexte personnel de l’utilisateur. Des options de personnalisation du ton et du…

Instagram supprime le chiffrement de bout en bout, vos messages privés ne sont plus protégés

La sécurité de vos messages privés sur Instagram a pris un coup. Le réseau social vient d’annoncer la fin de la prise en charge du chiffrement de bout en bout,…

Les consoles portables sous Windows vont gagner en autonomie grâce à cette initiative de Xbox

Le projet Green Leaf de Xbox vise à réduire la consommation d’énergie des jeux afin d’améliorer l’autonomie des consoles portables tournant sous Windows. Xbox est au four et au moulin…

Le air fryer Ninja DualZone XL passe à petit prix en cumulant ces 2 offres, c’est le moment d’en profiter !

Vous cherchez un airfryer polyvalent pour cuisiner pour toute la famille ? La friteuse sans huile Ninja DualZone XL profite d’une grande capacité de 7,6 L divisée en deux zones….

Avec Android 17, l’écran d’accueil va enfin devenir plus personnalisable pour les Pixel

Google pourrait enfin laisser les utilisateurs supprimer la fameuse barre de recherche de l’écran d’accueil des Pixel dans une prochaine version d’Android 17. Le widget de barre de recherche Google…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.