Invitations de calendrier et intégration Gmail de ChatGPT : le schéma d’attaque
Le 12 septembre 2025, le chercheur en sécurité Eito Miyamura a démontré un exploit qui est, selon toute vraisemblance, le premier mais certainement pas le dernier du genre : un Google Agenda malveillant injecte des instructions (“prompts”) dans ChatGPT qui, lorsqu’il est connecté à Gmail, entraîne la fuite d’e-mails privés en réponse. Oui, il existe des prérequis spécifiques — vous devez établir la connexion entre l’IA et Gmail, et utiliser Google Agenda de façon suffisamment intensive pour qu’une invitation inconnue puisse s’y glisser — mais ce type de schémas a tendance à évoluer pour étendre la portée de l’attaque, il est donc préférable de savoir exactement ce qui se passe et comment vous protéger. Lisez la suite pour les deux volets.
Invitations Google Agenda malveillantes : ce qui se cache sous le capot
L’arme ici s’appelle “injections de prompts indirectes”. Elles exploitent la minutie de l’IA en insérant des instructions malveillantes dans les données externes traitées par le modèle, y compris des sites web, des e-mails, des invitations de calendrier ou des documents. Dans le cas des invitations Google Agenda et de l’intégration de ChatGPT avec Gmail, l’IA a pris l’invitation, comme prévu, et a été piégée pour divulguer des e-mails (une fois connectée, elle a accès à beaucoup de choses) via des commandes cachées dans ces invitations.
Le terme “prompt injection” a été forgé par Simon Willison en 2022 ; le chercheur a décrit comment des acteurs malveillants pouvaient donner des instructions aux IA d’une manière analogue aux injections SQL. Les “injections de prompts indirectes”, comme leur nom l’indique, dissimulent ces commandes sous une couche de contenu à l’apparence inoffensive. Le terme lui‑même est attribué à Kai Greshake et à l’équipe de NVIDIA, qui ont formalisé le mode opératoire de l’attaque et ont décrit des stratégies de défense contre celle‑ci en 2025.
Comment vous protéger contre les attaques impliquant des injections de prompts indirectes ?
S’abstenir totalement d’utiliser l’intelligence artificielle ne sert à rien : aujourd’hui, vous pouvez encore parvenir à l’isolement souhaité, mais demain, les grands modèles de langage seront intégrés aux services côté fournisseur et vous n’aurez tout simplement aucun moyen de les déconnecter de vos comptes. De plus, vous ne saurez même pas que la connexion existe. Alors, que pouvez‑vous faire pour mettre vos données à l’abri ?
- Vigilance. Avant tout, restez vigilant et ne laissez jamais rien de suspect entrer dans votre agenda ni dans tout autre système qui s’appuie sur l’IA pour une raison ou une autre.
- Ordre. Gardez les choses en ordre. Si vous n’avez pas réellement besoin de ChatGPT pour vous aider avec les e‑mails, désactivez‑le. Vous avez peut‑être essayé la fonctionnalité, voire l’avez appréciée, mais s’il n’existe pas de cas d’usage concret — n’hésitez pas et ne remettez pas cela à plus tard.
- Limites. Même aujourd’hui, les intégrations d’IA peuvent être personnalisées pour vous donner davantage de contrôle sur ce avec quoi le modèle travaille et dans quelles conditions il peut accéder aux données. Envisagez de désactiver toutes les routines automatiques. Oui, cela ajoutera des validations manuelles, mais c’est plus sûr ainsi.
- Garde-fous existants. Dans Google Agenda, par exemple, vous pouvez paramétrer l’application pour n’autoriser que les invitations provenant d’expéditeurs connus. C’est un garde-fou ; utilisez‑en dès que possible.
OpenAI a reconnu le problème et a suggéré de désactiver les connecteurs. L’entreprise travaille à des défenses contre ce type d’attaques, mais c’est une course entre le bouclier et l’épée, il est donc judicieux d’opter pour une suite de sécurité tournée vers l’avenir. Trouvez‑en une ici :
