Encore une méchante fuite, avec injection de prompt dans un chatbot cette fois-ci…

Trois agents de codage IA ont laissé fuiter des secrets via une injection de prompt, un éditeur l'avait prédit

Un chercheur en sécurité de l'Université Johns Hopkins, Aonan Guan, accompagné de ses collègues Zhengyu Liu et Gavin Zhong, a publié la semaine dernière une divulgation technique intitulée "Comment and Control" démontrant qu'une simple injection de prompt dans le titre d'une pull request GitHub suffisait à compromettre trois agents de codage IA majeurs. L'attaque a forcé l'action Claude Code Security Review d'Anthropic à publier sa propre clé API en commentaire, et la même technique a fonctionné sur le Gemini CLI Action de Google ainsi que sur le Copilot Agent de GitHub (Microsoft), sans nécessiter aucune infrastructure externe. Les trois entreprises ont discrètement corrigé la faille : Anthropic l'a classée CVSS 9.4 Critique en versant une prime de 100 dollars, Google a payé 1 337 dollars, et GitHub a accordé 500 dollars via son programme Copilot Bounty. Aucune des trois n'avait publié de CVE officiel ni d'avis de sécurité public au moment de la divulgation. L'impact de cette vulnérabilité touche directement tous les dépôts GitHub utilisant le déclencheur pullrequesttarget, requis par la plupart des intégrations d'agents IA pour accéder aux secrets. Contrairement au déclencheur standard pull_request, ce mode injecte les secrets dans l'environnement d'exécution, exposant collaborateurs, champs de commentaires et flux de code automatisé à des acteurs malveillants. Merritt Baer, directrice de la sécurité chez Enkrypt AI et ancienne directrice adjointe de la sécurité chez AWS, résume l'enjeu sans détour : la protection doit se situer "à la frontière de l'action, pas à celle du modèle", c'est le runtime qui constitue le véritable périmètre d'exposition. Cette attaque illustre une surface de risque concrète pour toute organisation ayant intégré des agents IA dans ses pipelines de revue de code. Ce qui rend cet incident particulièrement révélateur, c'est que la fiche système d'Anthropic pour Claude Code Security Review indiquait explicitement que l'outil "n'est pas durci contre les injections de prompt", l'exploit n'a fait que confirmer ce qui était documenté. En comparaison, la fiche système d'OpenAI pour GPT-5.4 publie des évaluations d'injection au niveau du modèle mais ne documente pas la résistance au niveau du runtime ou de l'exécution des outils. Celle de Google pour Gemini 3.1 Pro, publiée en février, renvoie pour l'essentiel à une documentation plus ancienne et maintient son programme de red teaming entièrement interne, sans programme cyber externe. L'écart entre ce que les éditeurs documentent et ce qu'ils protègent réellement est désormais au coeur du débat sur la sécurité des agents IA déployés dans des environnements de développement sensibles.

💬 Anthropic a classé ça CVSS 9.4 et a payé 100 dollars de bounty. Cent dollars pour une fuite de clé API dans le titre d'une pull request, c'est le genre de disproportion qui dit tout sur comment ces outils ont été mis en prod. Le pire, c'est que c'était écrit noir sur blanc dans leur system card : "non durci contre les injections de prompt." Si tu utilises `pullrequesttarget` dans tes workflows GitHub avec un agent IA, va vérifier maintenant.

Copilot Studio : Microsoft corrige une injection de prompt, mais les données ont quand même été exfiltrées

Microsoft a corrigé en janvier 2026 une faille de sécurité critique dans Copilot Studio, sa plateforme de création d'agents IA pour entreprises. Identifiée sous le nom ShareLeak et référencée CVE-2026-21520 (score CVSS 7.5), la vulnérabilité a été découverte le 24 novembre 2025 par la société Capsule Security, confirmée par Microsoft le 5 décembre, puis corrigée le 15 janvier 2026. Le principe d'attaque est simple mais redoutable : un attaquant remplit un champ de commentaire public dans un formulaire SharePoint avec une instruction malveillante. Copilot Studio concatène alors cette entrée directement avec les instructions système de l'agent, sans aucune désinfection. Dans le proof-of-concept de Capsule, le payload injecté prenait le contrôle de l'agent, lui ordonnait d'interroger des listes SharePoint contenant des données clients, puis de les envoyer par Outlook à une adresse email contrôlée par l'attaquant. Le système de sécurité de Microsoft a bien signalé la requête comme suspecte, les données ont quand même été exfiltrées. Le DLP (système de prévention des fuites) n'a jamais déclenché d'alerte, car l'email transitait par une action Outlook considérée comme légitime. Ce type de faille illustre une limite architecturale fondamentale des agents IA : le modèle de langage est incapable de distinguer les instructions de confiance des données non fiables qu'il récupère. Carter Rees, vice-président IA chez Reputation, parle d'un "confused deputy", l'agent agit pour le compte de l'attaquant sans en avoir conscience. L'OWASP classe ce pattern sous le code ASI01 : Agent Goal Hijack. Ce qui rend la situation particulièrement préoccupante, c'est que des correctifs ne peuvent pas éliminer complètement cette classe de vulnérabilités : tant que des agents auront accès à des données non fiables et à des outils d'action (email, API), le risque structurel demeure. La décision de Microsoft d'attribuer un CVE à une injection de prompt dans une plateforme agentique est jugée "hautement inhabituelle" par Capsule, ce qui laisse entrevoir un durcissement des standards de responsabilité pour toute l'industrie. En parallèle, Capsule a découvert PipeLeak, une vulnérabilité identique dans Salesforce Agentforce : un formulaire public de génération de leads suffit à détourner un agent sans aucune authentification, avec une exfiltration de données CRM apparemment illimitée. Naor Paz, CEO de Capsule, a déclaré à VentureBeat : "Nous n'avons atteint aucune limite. L'agent continuait simplement à faire fuiter tout le CRM." Salesforce n'a attribué aucun CVE ni publié d'advisory officiel pour PipeLeak à ce jour, contrairement à Microsoft. La firme de San Francisco avait pourtant déjà patché ForcedLeak (CVSS 9.4, découverte par Noma Labs en septembre 2025) via des listes d'URL de confiance, PipeLeak contourne ce correctif par un canal différent, les actions email de l'agent. Salesforce recommande un contrôle humain dans la boucle comme mesure d'atténuation, une réponse que Capsule juge insuffisante face à l'ampleur du risque.

Jailbreak et Prompt Injection : comment les hackers piratent les IA

Les intelligences artificielles génératives sont désormais exposées à deux catégories d'attaques bien documentées : le jailbreak et la prompt injection. Le jailbreak consiste à contourner les règles de sécurité intégrées dans un modèle de langage, ces filtres conçus pour empêcher la génération de contenus illégaux, haineux ou dangereux. La prompt injection, elle, introduit des instructions malveillantes directement dans l'entrée du modèle, en exploitant le fait que les LLM ne distinguent pas naturellement une donnée d'une commande. Microsoft et OpenAI ont tous deux documenté de nombreux cas réels où des séquences de messages soigneusement construites, parfois sous forme de jeux de rôle ou de formulations persuasives, ont suffi à faire contourner ses garde-fous à un modèle. La prompt injection prend deux formes : directe, via le champ de saisie de l'utilisateur, ou indirecte, dissimulée dans un document externe lu par l'IA, comme un e-mail ou une page web. Ces vulnérabilités cessent d'être des curiosités techniques dès lors que les IA pilotent des systèmes critiques en entreprise. Un modèle compromis peut exfiltrer des données confidentielles, exécuter des commandes non autorisées ou propager des contenus nuisibles à grande échelle. La dangerosité tient en grande partie à l'asymétrie de l'attaque : ces techniques sont faciles à lancer, ne nécessitent aucune modification du code source, mais restent difficiles à détecter en temps réel. Les applications d'entreprise qui connectent des LLM à des bases de données, des messageries ou des outils internes représentent une surface d'attaque particulièrement exposée, car une injection indirecte peut s'activer sans intervention directe de l'attaquant sur l'interface. La combinaison des deux méthodes amplifie encore le risque : le jailbreak peut être le résultat d'une série de prompts injectés progressivement, poussant le modèle à ignorer ses instructions de base par accumulation. Ce phénomène s'inscrit dans un contexte plus large où la sécurité des systèmes IA accuse un retard structurel sur leur déploiement. Contrairement à la sécurité applicative classique, il n'existe pas encore de standard universel pour auditer ou certifier la robustesse d'un modèle face à ces attaques. Les chercheurs en sécurité, les équipes red team d'OpenAI, Google et Anthropic, ainsi que des cabinets indépendants, travaillent à établir des benchmarks fiables, mais la course entre attaque et défense reste ouverte. La vigilance humaine dans la supervision des sorties des modèles demeure, à ce stade, la mesure de protection la plus concrète disponible.

5 raisons de partager moins d'informations avec votre chatbot (et comment corriger vos erreurs passées)

Les conversations que des millions d'utilisateurs échangent quotidiennement avec des chatbots comme ChatGPT, Gemini ou Claude contiennent souvent des informations bien plus sensibles qu'ils ne le réalisent : numéros de sécurité sociale, coordonnées bancaires, problèmes de santé, conflits personnels, secrets professionnels. Ces données sont stockées par les entreprises qui opèrent ces services, parfois utilisées pour entraîner de futurs modèles, et potentiellement exposées en cas de fuite ou de réquisition judiciaire. Les risques sont multiples et concrets. Un employé qui colle un contrat confidentiel pour que l'IA le résume expose son entreprise à une violation de données. Un utilisateur qui décrit ses symptômes médicaux alimente une base de données commerciale. Même des détails anodins — préférences politiques, habitudes financières, relations familiales — constituent un profil exploitable à des fins publicitaires, d'assurance ou, dans certaines juridictions, de surveillance. Contrairement à une recherche Google, le registre conversationnel d'un chatbot révèle l'intention, le contexte et l'état émotionnel. La prise de conscience autour de ces risques monte, portée par des incidents comme la fuite de données Samsung via ChatGPT en 2023, où des ingénieurs avaient partagé du code source propriétaire. La plupart des plateformes offrent désormais des options pour désactiver l'historique des conversations ou soumettre une demande de suppression des données — des gestes simples que la majorité des utilisateurs ignorent. Lire les paramètres de confidentialité, éviter de partager des informations identifiables, et traiter son chatbot comme un email non chiffré sont les premiers réflexes à adopter.

💬 On sait tous que c'est risqué, mais on le fait quand même. L'affaire Samsung en 2023 aurait dû servir de signal d'alarme pour tout le monde, pas juste pour les DSI. Ce qui m'intéresse vraiment là-dedans, c'est que le registre conversationnel révèle l'intention, pas juste le contenu, et ça c'est une donnée autrement plus précieuse pour un annonceur ou un assureur. Bonne nouvelle, le RGPD te donne un droit concret d'action, reste à voir combien vont réellement l'utiliser.