Sept failles de sécurité majeures ont été découvertes dans ChatGPT. Elles permettent de voler des données personnelles à l'insu des utilisateurs. Quatre failles restent actives dans la dernière version du chatbot d'OpenAI.

ChatGPT est en proie à de sévères failles, dont certaines n'ont pas été corrigées. © Alexandre Boero / Clubic
ChatGPT est en proie à de sévères failles, dont certaines n'ont pas été corrigées. © Alexandre Boero / Clubic

Le robot conversationnel ChatGPT, que des centaines de millions de personnes utilisent chaque jour, cache d'inquiétants secrets. Tenable, spécialiste de la cybersécurité, vient de dévoiler ce mardi 5 novembre pas moins de sept vulnérabilités critiques baptisées HackedGPT. Quatre d'entre elles persistent dans ChatGPT-5, le tout dernier modèle d'OpenAI. Ces failles transforment le chatbot en complice involontaire des cybercriminels, capable d'exfiltrer conversations privées et données sensibles sans laisser de trace.

Quand les commentaires de blogs deviennent des pièges pour ChatGPT

La première découverte de Tenable va vous étonner par sa simplicité. Il suffit qu'un attaquant laisse un commentaire piégé sur un blog populaire pour compromettre des milliers d'utilisateurs de ChatGPT. Lorsqu'on demande à l'IA de résumer l'article, elle lit aussi les commentaires et obéit aveuglément aux instructions malveillantes qui y sont cachées. Aucun logiciel antivirus ne peut détecter cette manipulation invisible.

Les experts ont poussé le concept encore plus loin avec une attaque dite 0-click. Imaginez-vous poser une question anodine à ChatGPT, qui lance une recherche web pour vous répondre. Si l'un des sites indexés contient du code malveillant spécialement conçu pour SearchGPT (le système de navigation interne), vous êtes compromis sans avoir cliqué nulle part. Les attaquants peuvent cibler des sujets d'actualité ou des requêtes populaires pour maximiser leur impact.

La troisième méthode d'attaque détourne une fonctionnalité pratique créée par OpenAI. ChatGPT permet de partager des liens avec une question pré-remplie, comme « chatgpt.com/?q=Comment faire un gâteau ». En cliquant dessus, la question se lance automatiquement. Le problème, c'est qu'un pirate peut remplacer la question innocente par des instructions malveillantes. Un utilisateur qui clique sur ce lien reçu par e-mail ou sur les réseaux sociaux active alors des commandes cachées dans son propre ChatGPT, sans s'en apercevoir.

Les protections de sécurité d'OpenAI facilement contournées

OpenAI a bien tenté de sécuriser ChatGPT avec un système baptisé « url_safe », censé bloquer les liens dangereux avant qu'ils n'apparaissent à l'écran. Sauf que Tenable a découvert une faille béante. Les liens de tracking Bing passent systématiquement les contrôles de sécurité. Les adresses « bing.com/ck/a » redirigent vers n'importe quel site indexé par le moteur de recherche, y compris ceux contrôlés par des pirates.

Les chercheurs ont développé une technique d'exfiltration lettre par lettre pour contourner cette protection. Ils créent 26 pages web différentes sur Bing, une pour chaque lettre de l'alphabet (A, B, C, etc.). Chaque page obtient son propre lien Bing de confiance. Ensuite, ils piègent ChatGPT pour qu'il affiche ces liens dans un ordre précis. Si l'IA veut transmettre le mot « Hello », elle affichera cinq liens à la suite : celui de la page H, ensuite E, puis L, L, et O. Pour les pirates qui observent, c'est comme lire un message codé où chaque lien représente une lettre volée.

Lors d'une recherche sur Bing, le survol des résultats révèle qu'ils redirigent vers des liens bing.com/ck/a. © Tenable, novembre 2025
Lors d'une recherche sur Bing, le survol des résultats révèle qu'ils redirigent vers des liens bing.com/ck/a. © Tenable, novembre 2025

Tenable a aussi identifié deux techniques d'exploitation redoutables. La première, baptisée « Conversation Injection », exploite l'architecture double de ChatGPT : SearchGPT injecte des commandes que ChatGPT exécutera ensuite, pensant qu'elles font partie de la conversation légitime. La seconde utilise un bug de formatage markdown pour dissimuler totalement le contenu malveillant à l'écran. L'utilisateur voit un message parfaitement innocent, mais ChatGPT lit et exécute les instructions cachées.

Une menace qui persiste même après la fermeture de l'application

La septième vulnérabilité représente le cauchemar absolu pour la vie privée. Les chercheurs ont réussi à injecter des instructions malveillantes directement dans la mémoire à long terme de ChatGPT, cette fonctionnalité censée rendre l'assistant plus pratique en se souvenant de vos préférences. Une fois infectée, cette mémoire transforme chaque nouvelle conversation en opportunité de vol de données, même des jours après l'attaque initiale.

Comme SearchGPT n'a pas accès à la mémoire, celle-ci n'est pas prise en compte lors de sa réponse. © Tenable, novembre 2025

Moshe Bernstein, ingénieur de recherche senior chez Tenable, résume la situation avec gravité. « HackedGPT expose une faiblesse fondamentale dans la manière dont les grands modèles de langage jugent quelles informations sont dignes de confiance. Individuellement, ces failles semblent petites, mais ensemble, elles forment une chaîne d'attaque complète, de l'injection à l'évasion, en passant par le vol de données et la persistance. »

Tenable indique avoir divulgué toutes ces vulnérabilités à OpenAI, en suivant un protocole de divulgation responsable. Certaines ont été corrigées, mais d'autres non. Les chercheurs ont confirmé que plusieurs exploits fonctionnaient encore hier, mardi 4 novembre, sur ChatGPT-5. Moshe Bernstein lance donc un avertissement : « Les gens et les organisations doivent partir du principe que les outils IA peuvent être manipulés et concevoir des contrôles en conséquence. Cela implique gouvernance, protection des données et tests continus pour s'assurer que ces systèmes travaillent pour nous, pas contre nous. »