Grave faille de sécurité sur ChatGPT et plusieurs assistants IA : des utilisateurs sont victimes d’escroqueries et des informations sont divulguées…

La société israélienne de cybersécurité Zenity a révélé la première vulnérabilité « Zero Click » découverte dans le service ChatGPT d'OpenAI.

Ce type d'attaque ne nécessite aucune action de la part de l'utilisateur, comme cliquer sur un lien, ouvrir un fichier ou interagir de manière intentionnelle, mais peut tout de même permettre d'accéder aux comptes et de divulguer des données sensibles.

Mikhail Bergori, cofondateur et directeur technique de Zenity, a démontré de visu comment un pirate informatique, disposant uniquement de l'adresse électronique d'un utilisateur, pouvait prendre le contrôle total des conversations – y compris le contenu passé et futur –, en modifier l'objectif et même manipuler ChatGPT pour qu'il agisse selon ses souhaits.

Dans leur présentation, les chercheurs ont démontré qu'un ChatGPT compromis pouvait être transformé en un « acteur malveillant » agissant subrepticement contre les utilisateurs. Des pirates pourraient ainsi inciter ChatGPT à suggérer le téléchargement de logiciels infectés par des virus, à donner des conseils commerciaux trompeurs ou à accéder à des fichiers stockés sur Google Drive si le compte de l'utilisateur est connecté. Tout cela se produit à l'insu de l'utilisateur.

La vulnérabilité n'a été entièrement corrigée qu'après que Zenity en a informé OpenAI.

Outre ChatGPT, Zenity a également mené des attaques similaires contre d'autres plateformes d'assistants IA populaires. Dans Microsoft Copilot Studio, des chercheurs ont découvert comment divulguer des bases de données CRM complètes.

Dans le cas de Salesforce Einstein, les pirates informatiques peuvent créer de fausses demandes de service afin de rediriger toutes les communications clients vers des adresses électroniques qu'ils contrôlent.

Google Gemini et Microsoft 365 Copilot ont également été transformés en « acteurs hostiles », menant des attaques de phishing et divulguant des informations sensibles par le biais de courriels et d'événements de calendrier.

Dans un autre exemple, l'outil de développement logiciel Cursor, lorsqu'il était intégré à Jira MCP, a également été exploité pour voler les identifiants des développeurs via de faux « tickets ».

Zenity a indiqué que certaines entreprises, comme OpenAI et Microsoft, ont rapidement publié des correctifs après avoir été alertées. Cependant, d'autres ont refusé de traiter le problème, arguant que ce comportement était une « fonctionnalité de conception » plutôt qu'une faille de sécurité.

Le grand défi actuel, selon Mikhail Bergori, est que les assistants IA ne se contentent plus d'effectuer de simples tâches, mais deviennent de véritables « entités numériques » représentant les utilisateurs : capables d'ouvrir des dossiers, d'envoyer des fichiers et d'accéder aux courriels. Il a averti que cela représente un véritable « paradis » pour les pirates informatiques, avec de nombreuses failles exploitables.

Ben Kaliger, cofondateur et PDG de Zenity, a déclaré que les recherches de l'entreprise démontrent que les méthodes de sécurité actuelles ne sont plus adaptées au fonctionnement des assistants IA. Il a exhorté les organisations à revoir leur approche et à investir dans des solutions spécialisées pour contrôler et surveiller les activités de ces « agents ».