Google a confirmé un avertissement de Gmail concernant une nouvelle attaque basée sur l’IA capable de compromettre les comptes Gmail. Cette attaque exploite des techniques d’injection rapide cachées dans les e-mails, les messages, les sites Web, les pièces jointes et les invitations de calendrier.
La vulnérabilité a été soulignée par Eito Miyamura, qui a démontré sur X comment ChatGPT pouvait être manipulé pour divulguer les données de messagerie privées d’une victime en utilisant uniquement son adresse e-mail. Selon Miyamura, « les agents d’IA comme ChatGPT suivent vos commandes, pas votre bon sens », soulignant le potentiel d’exfiltration de données.
Google avait déjà mis en garde contre ce type de menace en juin, la qualifiant de « nouvelle vague de menaces » visant à manipuler les systèmes d’IA. Ces menaces impliquent des instructions malveillantes intégrées dans des e-mails, des documents ou des invitations d’agenda qui obligent l’IA à extraire les données des utilisateurs ou à effectuer des actions non autorisées.
L’attaque démontrée est une preuve de concept, lancée par une invitation malveillante dans un calendrier qui ne nécessite pas l’acceptation de la victime. Lorsque ChatGPT est invité à préparer l’utilisateur pour sa journée en consultant son calendrier, l’assistant IA est « détourné par l’attaquant et agira sur la commande de l’attaquant, recherchant vos e-mails privés et envoyant les données à l’e-mail de l’attaquant », selon les rapports.
Pour atténuer ce risque, Google conseille aux utilisateurs d’activer le paramètre « Expéditeurs connus » dans Google Agenda. Cette mesure permet d’empêcher l’apparition automatique d’événements malveillants ou de spam sur la grille du calendrier. Google déclare : “Nous avons trouvé qu’il s’agissait d’une approche particulièrement efficace pour aider les utilisateurs à empêcher l’apparition d’événements malveillants ou de spam sur leur grille de calendrier. L’invitation spécifique du calendrier n’aurait pas atterri automatiquement à moins que l’utilisateur n’ait eu des interactions préalables avec le mauvais acteur ou modifié les paramètres par défaut. ”
Google souligne également l’importance de sécuriser les modèles d’IA contre de telles attaques. La société affirme que « notre formation de modèle avec des données contradictoires a considérablement amélioré nos défenses contre les attaques indirectes par injection rapide dans les modèles Gemini 2.5 », bien que cette attaque spécifique n’implique pas Gemini.
De plus, Google met en œuvre des filtres pour détecter les attaques par injection rapide. Ils « déploient des modèles d’apprentissage automatique propriétaires capables de détecter les invites et instructions malveillantes dans divers formats, tels que les e-mails et les fichiers ». Ces modèles visent à identifier et à ignorer les instructions malveillantes contenues dans les e-mails, générant ainsi des réponses sûres pour les utilisateurs.
Google souligne que les défenses intégrées de Gmail bloquent déjà plus de 99,9 % du spam, des tentatives de phishing et des logiciels malveillants. La société cite un exemple d’e-mail “contenant des instructions malveillantes ; nos classificateurs de contenu aident à détecter et à ignorer les instructions malveillantes, puis à générer une réponse sûre pour l’utilisateur”.
Miyamura prévient que malgré l’intelligence de l’IA, elle reste vulnérable à la manipulation et au phishing, pouvant conduire à des fuites de données. Il prévient : « L’IA est peut-être super intelligente, mais elle peut être trompée et hameçonnée de manière incroyablement stupide pour divulguer vos données. »
Google maintient que cette menace « n’est pas spécifique à Google », soulignant l’importance, à l’échelle du secteur, de développer des protections robustes contre les attaques par injection rapide.
