En déléguant certaines de nos tâches, confions-nous aussi notre vigilance ? C’est l’une des grandes questions de cybersécurité qui accompagnent l’émergence des navigateurs IA.
Alors que le 21 octobre, OpenAI lançait son premier navigateur, imaginé pour transformer l’expérience utilisateur grâce à une barre latérale pilotée par ChatGPT permettant de « discuter » avec le web, nous avons abordé ces problématiques avec Adrien Merveille, directeur technique France chez Check Point.
L’ombre des attaques par injection de prompts
Pour couvrir ce vaste sujet, une question centrale s’impose d’emblée : quelles sont les attaques rendues possibles par ces navigateurs ?
Un des phénomènes largement documentés est l’injection de prompt, une attaque qu’Adrien Merveille définit ainsi :
Cela « consiste à faire interpréter une instruction au moteur d’intelligence artificielle pour faire fuiter des informations qu’il n’est pas censé divulguer. »
Pour l’expert, il faut séparer ce type d’attaque en deux catégories :
« On trouve les injections directes, c’est-à-dire celles où vous allez discuter avec le [chatbot] pour essayer de lui faire faire quelque chose qu’il n’est pas censé faire. C’est un type de manipulation pour détourner les grands modèles de langage de leurs usages. […] Puis vous avez les attaques par injection indirecte de prompt. Là, vous allez cacher des instructions qui seront interprétées par un moteur d’intelligence artificielle à un moment ou à un autre. »
Comment fonctionnent les prompts par injection ?
Pour comprendre concrètement comment ça marche, Adrien Merveille revient sur une anecdote qui avait mis en lumière la facilité avec laquelle un prompt indirect peut être réalisé : « Il y a un exemple assez drôle où une personne avait glissé dans sa biographie LinkedIn une instruction [ndlr : à destination des bots] demandant de lui envoyer une recette de flan pâtissier. Du coup, il recevait des offres d’emploi qui disaient : ‘Votre profil nous a attiré, vous avez l’expérience nécessaire dans tel ou tel secteur… et puis pour faire un bon flan, il faut 4 œufs…’ […] C’était la preuve que les tâches étaient déléguées à l’IA parfois sans contrôle humain derrière. »
Outre cet exemple inoffensif, cette méthode peut en réalité être intégrée à des campagnes bien plus malveillantes.
« C’est le gros risque avec les agents IA. Vous allez leur donner des permissions, leur partager des datas ou des autorisations particulières. Dans le cas de ChatGPT Atlas, vous avez un agent qui va vous assister quand vous faites du shopping ou remplissez des formulaires. Vous allez lui donner la capacité d’aller ‘browser’ Internet et de remplir des champs à votre place. Des champs qui peuvent être votre nom, votre prénom, votre adresse, votre numéro de téléphone, peut-être même votre numéro de carte bleue. (…) C’est des données qui sont sensibles et qui sont la cible des hackeurs quand ils font des attaques par phishing. »
Des cas réels largement documentés
Les affaires d’injections de prompt ne manquent pas dans l’actualité récente. Ces cyberattaques exploitent la confiance accordée aux assistants intelligents en glissant des instructions malveillantes là où on ne les attend pas : dans un calendrier ou un mail.
Adrien Merveille illustre ce type de danger à travers l’affaire Shadow Leak : « C’est un cas relativement simple. L’attaque se base sur l’intégration entre la messagerie Gmail et l’agent Deep Research d’OpenAI. » Ce dernier permet à un utilisateur de poser des questions et à l’agent d’aller consulter sa boîte mail pour y puiser des informations.
« Ainsi, un utilisateur a demandé : ‘Peux-tu me résumer les messages que j’ai reçus aujourd’hui ?’ » Un requête anodine, qui provoque un injection indirecte lorsqu’un cybercriminel envoie un mail contenant une instruction cachée à destination du modèle de langage. « C’est exactement ce qui a été fait dans Shadow Leak. Le pirate a envoyé un mail sur la boîte de la victime en dissimulant un code (…) et ça ne s’est pas vu. »
Tout Internet comme source d’injection
Et c’est précisément cette mécanique d’attaque qui prend une nouvelle ampleur avec l’avènement des navigateurs IA, capables de scanner une multitude de sites web au risque d’intégrer des prompts manipulateurs :
« On risque de voir se créer de faux sites qui vont attirer les moteurs d’IA. Par exemple, vous créez un site d’e-commerce avec des produits très ciblés, comme le dernier iPhone, à des prix très compétitifs. Quand l’agent va analyser le web pour proposer le produit que votre utilisateur recherche, il va mettre ce faux site en avant dans lequel sera inséré du code caché (…) Et comme l’agent peut tout faire pour vous, jusqu’au paiement, s’il a accès à vos informations bancaires, on pourra potentiellement récupérer vos données bancaires, personnelles, etc. »
Tout à jeter ?
Si le risque est bien réel, l’expert ne prône pas pour autant une interdiction ou une mise à l’écart systématique de ces outils. Il s’agit plutôt d’en évaluer lucidement les avantages et les risques, afin d’en tirer le meilleur tout en maîtrisant les dangers potentiels.
« Comme dans toute problématique, il y a une pièce à deux faces. Vous avez d’un côté les bénéfices que vous allez tirer de tels outils : la simplification des process, le gain de temps pour un employé qui ne va plus faire des tâches manuelles ou administratives répétitives. Il y a un gain de productivité potentiel pour les entreprises. Donc je ne vais pas critiquer l’outil en tant que tel. Par contre, chaque outil, peu importe s’il est bon ou pas, est associé à un risque. »
Problème systémique ou turbulences de jeunesse ?
Mais, alors, est-ce un problème systémique voué à miner la navigation sur ces navigateurs ? Pour Adrien Merveille, il s’agit davantage d’un cycle naturel et il revient aux utilisateurs de prendre en considération que ces outils sont encore jeunes. Ainsi, comme tout nouvel outil informatique, sa sécurité se peaufinera au fil des patchs, des usages et des manipulations :
« Au tout début, on disait que ChatGPT pouvait créer un mail de phishing. Très vite les fournisseurs comme OpenAI ont mis en place des protections pour que leur moteur soit conscient qu’on pouvait les utiliser à des fins malicieuses et ont mis en place des gardes-fou. Par exemple, la vulnérabilité Shadow Leak a également été corrigée par OpenAI depuis. »
En attendant que les vulnérabilités soient corrigées au fil du temps, Adrien Merveille distille quelques conseils essentiels pour tester ces outils en toute sécurité :
« Ce sont les mêmes bonnes pratiques que pour l’utilisation d’un navigateur classique. Parmi les données que vous partagerez avec Atlas, il y aura votre historique de navigation. L’IA pourra en déduire votre fréquentation de certains sites et, en conséquence, vous proposer des contenus adaptés à vos habitudes. […] Il faut donc s’interroger : souhaitez-vous vraiment conserver cet historique ? Stockez-vous vos mots de passe ou vos codes de carte bancaire directement dans le navigateur ? Toutes ces informations-là, plus vous les partagez avec vos outils numériques, plus le risque augmente. »
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !