Le chatbot de la compagnie ferroviaire a laissé ses portes numériques grandes ouvertes aux pirates en herbe. Plutôt que de saluer la vigilance des experts qui ont signalé la bévue, Eurostar a préféré jouer la carte de l'indignation en les accusant de chantage.
L'histoire aurait pu se limiter à une banale anecdote technique sur les balbutiements de l'intelligence artificielle dans le transport ferroviaire. C'était sans compter sur la réaction épidermique des responsables de la sécurité chez Eurostar. Des chercheurs du cabinet Pen Test Partners ont mis le doigt sur des failles béantes dans l'agent conversationnel de la compagnie, permettant de manipuler le robot pour lui faire dire n'importe quoi ou presque. La réponse du transporteur face à cette main tendue ? Une accusation de chantage digne d'un mauvais polar, transformant un audit de sécurité standard en un véritable fiasco de communication.
Pourquoi l'agent conversationnel d'Eurostar a déraillé
Le problème technique prête presque à sourire tant il semble élémentaire pour une entreprise de cette envergure. L'architecture de l'IA souffrait d'une naïveté confondante dans sa gestion des conversations. Le système validait docilement le dernier message envoyé par l'utilisateur pour vérifier s'il respectait les règles de bienséance, mais il accordait une confiance aveugle à tout l'historique précédent.
C'est un peu comme si un contrôleur vérifiait votre billet sur le quai, vous laissait monter, et ne remarquait pas que vous changiez ensuite votre ticket pour un passe gratuit une fois assis dans le wagon. Les auditeurs ont exploité cette crédulité numérique avec une facilité déconcertante. Il leur a suffi d'envoyer une requête inoffensive pour obtenir le feu vert du système, puis de modifier les messages antérieurs directement dans leur navigateur.
Une fois la porte entrouverte, le robot est devenu particulièrement bavard. En lui demandant poliment de remplir un itinéraire factice, les chercheurs ont forcé l'IA à révéler son moteur interne, basé sur des modèles d'OpenAI, et même ses instructions de système confidentielles. Plus inquiétant encore, cette faille permettait d'injecter du code malveillant capable de piéger d'autres utilisateurs via des liens frauduleux. Une vraie passoire qui, si elle avait été connectée aux données bancaires, aurait pu coûter très cher aux voyageurs.
Silence radio et accusation absurde sur LinkedIn
La gestion humaine de l'incident s'avère encore plus chaotique que le code informatique. Les chercheurs ont suivi à la lettre le protocole de divulgation responsable en alertant Eurostar dès le mois de juin via le canal officiel. Le résultat fut un silence assourdissant. Semaines après semaines, aucune réponse ne venait rassurer les experts sur la prise en compte de leur découverte.
Face à ce mutisme, l'équipe de Pen Test Partners a fini par contacter le responsable de la sécurité directement sur le réseau social professionnel LinkedIn pour s'assurer que le message était bien passé. La raison de ce silence était tristement banale : Eurostar avait changé de prestataire pour la gestion des failles et le rapport initial s'était perdu dans les limbes de cette migration informatique.
C'est là que la situation devient ubuesque. Au lieu de présenter des excuses pour ce raté administratif, le responsable sécurité a répliqué que cette insistance sur LinkedIn pourrait être considérée comme du « chantage ». Une accusation lourde et infondée pour des professionnels qui tentaient simplement de fermer une brèche de sécurité avant qu'elle ne soit exploitée par de véritables cybercriminels. Cette affaire rappelle cruellement que si l'intelligence artificielle progresse à grande vitesse, la culture de la cybersécurité reste parfois bloquée en gare.
Source : The Register
