Des chercheurs en cybersécurité de Radware ont démontré comment ChatGPT pouvait être utilisé comme complice involontaire dans le vol de données sensibles.
Leur attaque, baptisée Shadow Leak, visait les boîtes Gmail et a mis en lumière les risques liés aux IA agentiques, ces assistants capables d’agir de manière autonome au nom de l’utilisateur.
Une faille dans le fonctionnement des agents IA
Les agents IA, comme Deep Research intégré à ChatGPT, sont conçus pour faciliter la vie des utilisateurs en accédant à leurs e-mails, agendas, documents professionnels et bien plus encore. Mais, cette autonomie peut être détournée.
Radware a utilisé une technique appelée injection de prompt : des instructions malveillantes sont cachées dans un contenu apparemment banal, comme un e-mail. Invisibles pour l’œil humain (par exemple du texte blanc sur fond blanc), ces commandes sont comprises et exécutées par l’IA.
Dans le cas de Shadow Leak, un e-mail piégé était placé dans la boîte Gmail. Lorsqu’un utilisateur lançait Deep Research, l’agent rencontrait les instructions cachées, qui l’amenait à fouiller la boîte de réception pour trouver des e-mails RH ou des données personnelles, puis à exfiltrer ces informations vers les attaquants, sans que la victime ne se doute de rien.
Invisible pour les défenses classiques
La particularité de Shadow Leak est que l’attaque s’exécutait sur l’infrastructure cloud d’OpenAI, rendant la fuite de données indétectable par les défenses traditionnelles.
Les chercheurs expliquent que parvenir à ce résultat a nécessité de nombreux essais et échecs avant d’obtenir un contournement efficace.
Radware alerte que cette faille pourrait aussi être exploitée sur d’autres services connectés à Deep Research, comme Outlook, Google Drive, Dropbox ou GitHub. Cela ouvrirait la voie à l’exfiltration de données critiques : contrats, comptes rendus de réunions ou encore fichiers clients.
Correctif appliqué, mais le risque demeure
OpenAI a corrigé la vulnérabilité dans ChatGPT signalée par Radware en juin 2025. Néanmoins, cette expérience illustre un défi majeur : il est impossible de prévoir toutes les potentielles injections de prompt , et les attaquants font preuve d’une créativité croissante pour détourner ces outils.
Comme l’explique Radware, l’essor des agents IA, notamment dans ChatGPT, s’accompagne de risques inédits : un assistant conçu pour gagner du temps peut, à son insu, devenir une porte dérobée vers des données confidentielles.
