Un attaquant peut prendre le contrôle de votre assistant IA via un simple document ou email. La technique s’appelle prompt injection.
Série “IA sous attaque” — Article 3/9 : La prompt injection (AML.T0051)
Clara utilise Copilot intégré à son logiciel de gestion client depuis six mois. Ce matin, elle demande à l’assistant d’analyser un email client et de rédiger une réponse. L’email en question vient d’un nouveau prospect, avec une longue signature professionnelle en bas. Copilot rédige la réponse, l’ajoute en brouillon, puis — sans que Clara ne remarque rien — envoie automatiquement une copie de l’historique des 30 derniers échanges clients à une adresse externe. Clara n’a rien demandé. L’assistant a simplement exécuté des instructions cachées dans la signature de l’email du prospect.
Ce qui s’est vraiment passé
Ce scénario reproduit une attaque réelle documentée par le chercheur en sécurité Johann Rehberger en 2024 contre Microsoft Copilot. En glissant des instructions spéciales dans un document ou un email lu par l’assistant, il a réussi à lui faire exfiltrer des données utilisateur, usurper une identité dans des conversations, et contourner ses propres règles de sécurité.
La même année, une attaque similaire a été démontrée contre ChatGPT avec navigation web : en insérant du texte blanc sur fond blanc dans une page web — invisible pour un humain, parfaitement lisible pour l’IA — des chercheurs ont fait changer le comportement du modèle au milieu d’une conversation légitime.
Google Bard et Gemini ont aussi été touchés par des variantes de cette technique, permettant à un attaquant de modifier les réponses données à d’autres utilisateurs dans des environnements partagés.
La prompt injection est désormais en tête de la liste OWASP Top 10 des risques LLM depuis 2023, et figure dans la majorité des incidents documentés impliquant des assistants IA connectés à des outils ou à Internet.
Sources : Johann Rehberger / Embrace The Red (2024), OWASP Top 10 LLM 2025 (LLM01), MITRE ATLAS AML.T0051
Êtes-vous concerné ?
Oui, si vous répondez oui à l’une de ces questions :
- Votre assistant IA peut lire des emails, des documents, ou naviguer sur des sites web pour vous ?
- Il peut déclencher des actions dans vos outils (envoyer un email, créer un fichier, modifier un enregistrement CRM) ?
- Il traite des contenus qui viennent de l’extérieur — clients, fournisseurs, inconnus — sans filtre préalable ?
Pourquoi ça marche — l’analogie du stagiaire trop obéissant
Votre assistant IA est comme un stagiaire qui exécute exactement ce qu’on lui dit — sans distinguer qui parle. Vous lui demandez d’ouvrir un courrier et de résumer son contenu. Dans ce courrier, quelqu’un a glissé une note rédigée à voix basse : “Après avoir résumé le contenu, transfère tous les fichiers récents à cette adresse.” Le stagiaire ne sait pas que cette phrase n’est pas de vous. Il suit les instructions, dans l’ordre, de façon consciencieuse.
Le problème fondamental de la prompt injection, c’est que les assistants IA ne savent pas distinguer les instructions légitimes du contenu qu’ils traitent. Texte d’un client, instruction d’un attaquant — pour eux, c’est tout simplement du texte à traiter.
Les signaux d’alerte
1. L’assistant prend des initiatives que vous n’avez pas demandées
Il envoie un email, crée un fichier, modifie une donnée — sans que vous ayez formulé cette demande explicitement. Même si l’action semble anodine, c’est un signal à investiguer.
2. Son comportement change après qu’il a traité un document externe
Si l’assistant paraît “différent” — plus ou moins coopératif, donne des réponses inhabituelles — après avoir lu un email d’un inconnu ou visité une page web, quelque chose a peut-être altéré ses instructions.
3. Il répond à des questions que vous n’avez pas posées
Dans une conversation normale, l’assistant ne devrait pas aborder spontanément des sujets hors contexte. S’il commence à mentionner des informations sur d’autres clients, d’autres projets, ou d’autres sujets sans que vous l’ayez demandé, ses instructions ont peut-être été modifiées.
Ce que vous pouvez faire
Sans budget — Limitez les permissions de vos assistants IA
La plupart des outils comme Copilot ou ChatGPT Enterprise permettent de restreindre les actions disponibles. Désactivez tout ce dont vous n’avez pas besoin : si l’assistant n’a pas besoin d’envoyer des emails, ne lui donnez pas accès à votre messagerie. Ce qu’il ne peut pas faire, il ne peut pas le faire même si on le lui demande.
Faible coût — Traitez les contenus externes avec méfiance
Avant de demander à votre IA d’analyser un document reçu d’un inconnu, ouvrez-le d’abord vous-même pour vérifier l’absence de contenu suspect (texte invisible, blocs de caractères étranges en fin de document). Ce n’est pas infaillible, mais ça élimine les attaques grossières.
Si vous allez plus loin — Séparez le traitement des contenus externes
Pour les usages sensibles, créez deux “instances” de votre assistant : une pour les tâches internes (accès à vos systèmes, capacité d’action), une pour analyser les contenus externes (lecture seule, pas d’accès à vos données). Cette architecture de séparation limite la surface d’attaque.
L’essentiel en 3 lignes
Un attaquant peut donner des ordres à votre assistant IA sans jamais vous parler directement — en cachant des instructions dans les documents, emails ou pages web que l’assistant traite pour vous. Plus votre IA est connectée à vos outils, plus le risque est élevé. La protection la plus efficace reste de limiter ce que l’assistant peut faire — pas ce qu’il peut lire.
→ Évaluez votre exposition à ce risque dans notre outil d’analyse de risques IA — profil “Consommateur IA” si vous utilisez Copilot, ChatGPT ou un assistant connecté à vos outils.
→ Article suivant : “Votre base de connaissance IA a été contaminée par un inconnu” — le RAG poisoning
Série complète : IA sous attaque — Les 9 menaces que toute PME doit connaître