Sécurité des IA : Tenable pointe 7 vulnérabilités

Que ce soit ChatGPT, ou les autres services IA et modèles LLM, les failles de sécurité sont bien réelles. Le top de l'OWASP le prouve à chaque publication.

Tenable a publié un ensemble de 7 vulnérabilités présentées sur GPT-4o ou GPT-5 :

1. Injection de requêtes indirecte via des sites de confiance : Des attaquants dissimulent des commandes dans du contenu apparemment légitime (commentaires de blog, publications publiques). Lors de la navigation, ChatGPT exécute ces instructions cachées sans le savoir.
    
2. Injection indirecte “0-click” dans le contexte de recherche : L’utilisateur n’a rien à faire pour être exposé. Si ChatGPT consulte une page contenant du code malveillant caché, le simple fait de poser une question peut suffire à provoquer une fuite de données privées.
    
3. Injection de requêtes “1-click” : Un clic sur un lien piégé (ex. https://chatgpt.com/?q={Prompt}) peut amener ChatGPT à exécuter des actions malveillantes à son insu.
    
4. Contournement des mécanismes de sécurité : ChatGPT valide normalement les liens et bloque les sites dangereux. Les attaquants contournent cette vérification en utilisant des URL d’enrobage (“wrapper URLs”) déguisées (comme bing.com/ck/a?...), masquant la véritable destination malveillante.
    
5. Injection de conversation : ChatGPT repose sur deux systèmes : SearchGPT pour la navigation et ChatGPT pour la conversation. Un attaquant peut utiliser SearchGPT pour insérer des instructions cachées que ChatGPT interprétera ensuite comme faisant partie de l’échange utilisateur.
    
6. Dissimulation de contenu malveillant : Un bug de mise en forme permet de cacher du code malveillant dans des blocs de code ou du texte markdown. L’utilisateur voit un message normal, mais le modèle exécute quand même le contenu caché.
    
7. Injection de mémoire persistante : En exploitant la fonction de mémoire, un attaquant peut implanter des commandes durables. Celles-ci se réactivent à chaque session, provoquant une fuite continue de données jusqu’à effacement manuel.£

Les chercheurs de Tenable montrent que ces attaques peuvent se produire silencieusement de deux manières :

• Attaques “0-click” : le simple fait de poser une question à ChatGPT peut déclencher la compromission.
• Attaques “1-click” : un simple clic sur un lien malveillant active des commandes cachées.

L'impact est multiple : corruption du modèle, biais de l'IA, vol de données. 

Recommandations

Tenable conseille de renforcer défenses contre les attaques par injection de requêtes, notamment en vérifiant le bon fonctionnement des mécanismes de sécurité (comme url_safe) et en isolant les fonctions de navigation, de recherche et de mémoire pour empêcher les attaques entre contextes.

L’entreprise recommande de considérer les outils d’IA comme de véritables surfaces d’attaque, et non comme de simples assistants. Elles peuvent pour cela auditer et surveiller les intégrations d’IA pour détecter manipulations et fuites de données, enquêter sur les requêtes ou sorties inhabituelles pouvant signaler une injection, tester et renforcer les défenses contre les vecteurs d’injection et d’exfiltration et établir une gouvernance claire et une classification des données pour l’usage de l’IA.

« Cette recherche ne se limite pas à révéler des failles, elle vise à changer notre approche de la sécurité de l’IA », ajoute Moshe Bernstein. « Les particuliers comme les organisations doivent désormais partir du principe que les outils d’IA peuvent être manipulés, et concevoir leurs contrôles en conséquence : gouvernance, protection des données et tests continus pour s’assurer que ces systèmes travaillent pour nous, et non contre nous. »