Une faille critique de type zéro-clic touchait l’agent Deep Research de ChatGPT. Découverte par Radware, elle permettait l’exfiltration invisible de données sensibles via un simple email piégé.
OpenAI a corrigé une vulnérabilité baptisée ShadowLeak dans son agent Deep Research. Cette faille, découverte par Radware, permettait à un attaquant de subtiliser des informations personnelles sans clic ni action de l’utilisateur. Un simple email malveillant suffisait pour déclencher, à l’insu de la victime, l’extraction de données sensibles vers un serveur contrôlé par l’attaquant. Le scénario illustre les risques liés aux agents autonomes intégrés à des sources comme Gmail, GitHub ou Google Drive. Bien que la faille ait été corrigée en août, l’incident souligne les enjeux de cybersécurité et de renseignement entourant l’usage croissant de l’IA connectée à des données personnelles et professionnelles.
Une faille zéro-clic inédite
Dévoilé en février, l’agent Deep Research d’OpenAI permet d’analyser en profondeur des documents personnels ou des services externes comme Gmail ou GitHub. L’outil, conçu pour automatiser des recherches contextualisées, a été pris pour cible par Radware. Les chercheurs Gabi Nakibly, Zvika Babo et Maor Uziel ont découvert ShadowLeak, une vulnérabilité exploitée par un simple courriel malveillant. L’attaque ne nécessitait ni ouverture ni clic : l’agent ingérait le message et obéissait à des instructions invisibles cachées dans le texte. L’IA exfiltrait ensuite des données sensibles en contactant une URL contrôlée par l’attaquant. Aucun indice n’apparaissait pour l’utilisateur, rendant la compromission indétectable.
Le mécanisme ShadowLeak
Radware décrit un scénario utilisant un email apparemment anodin intitulé « Restructuring Package – Action Items ». Derrière ce message, des commandes en police blanche sur fond blanc ordonnaient à l’agent de collecter le nom et l’adresse de l’employé puis de les transmettre à un serveur externe. Les chercheurs expliquent que l’attaquant pouvait maquiller son infrastructure en « système de validation de conformité » afin de lever les barrières de sécurité. ShadowLeak contournait ainsi les garde-fous d’OpenAI en affirmant que les données étaient publiques. L’absence de traces réseau visibles compliquait la détection, même pour les entreprises clientes de ChatGPT.
Des risques pour toutes les intégrations
Si la démonstration a été réalisée via Gmail, les chercheurs soulignent que tout connecteur alimentant l’agent avec des textes structurés pouvait devenir une porte d’entrée. Google Drive, Dropbox, SharePoint et d’autres services cloud sont également concernés. L’attaque pourrait exposer des contrats, notes de réunion ou bases clients. Selon Radware, « de l’extérieur, le trafic ressemble à une activité légitime de l’assistant », tandis que les garde-fous centrés sur les sorties textuelles ne bloquent pas les actions invisibles menées en arrière-plan. OpenAI, alerté le 18 juin via BugCrowd, a corrigé la faille début août avant de clore officiellement l’incident le 3 septembre.
ShadowLeak illustre la fragilité des agents autonomes connectés à des données sensibles. L’incident pose une question centrale : comment concilier puissance des intégrations IA et sécurité face aux attaques invisibles de type zéro-clic ?
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
