ChatGPhish : le résumé de ChatGPT, nouveau terrain de jeu des hameçonneurs

Quand la réponse de ChatGPT devient l'appât

Le 29 mai 2026, les chercheurs de Permiso Security ont rendu publique une technique baptisée ChatGPhish. Son principe tient en une phrase : il suffit de dissimuler quelques instructions sur une page web ordinaire pour que, dès qu'un utilisateur demande à ChatGPT de la résumer, la réponse de l'assistant lui renvoie un lien d'hameçonnage bien vivant, une fausse alerte « sécurité du compte » ou un QR code à scanner. Le tout s'affiche dans la fenêtre de ChatGPT, avec l'apparence exacte d'une réponse authentique.

Ici, aucun logiciel malveillant, aucun mot de passe dérobé, aucun serveur compromis. La faille, c'est la confiance que l'utilisateur accorde à ce que l'assistant lui répond. ChatGPhish s'empare de cette confiance et tend discrètement la plume à l'attaquant. Comprendre le procédé, c'est cesser de prendre un résumé d'IA pour un verdict et commencer à le traiter comme n'importe quel contenu web non vérifié.

Ce que Permiso a mis au jour

Permiso a signalé la vulnérabilité à OpenAI via la plateforme Bugcrowd le 29 avril 2026, sous l'intitulé « Untrusted Markdown Rendering Leads to XSS, Phishing, and Data Exfiltration ». OpenAI a d'abord répondu ne pas parvenir à reproduire le problème. Une seconde version du rapport, le 1er mai, accompagnée d'une démonstration plus complète, a été classée comme doublon d'un signalement déjà connu. Après de nouveaux échanges le 7 mai, les chercheurs ont publié leurs conclusions le 29 mai 2026, sans confirmation qu'un correctif ait été déployé. The Register, The Hacker News et Cyber Security News ont relayé la divulgation le jour même.

Le mécanisme relève de l'injection d'invite indirecte (prompt injection) : on glisse à l'IA des instructions camouflées en contenu anodin, de sorte qu'elles se faufilent dans sa réponse sans que l'utilisateur ne les voie jamais. Les spécialistes parlent aussi d'attaque par injection croisée, ou XPIA. La même ruse avait visé Microsoft Copilot l'an dernier au moyen de courriels piégés. ChatGPhish remplace le courriel par le navigateur. Lorsqu'il résume une page, ChatGPT met en forme sa réponse en Markdown, ce langage léger qui transforme du texte en liens cliquables, en images et en titres. Or le moteur d'affichage de chatgpt.com accorde sa confiance aux liens et aux adresses d'images remontés depuis le contenu d'un tiers : une consigne dissimulée dans un fichier README sur GitHub, un portail de documentation, un billet de blog ou un tableau de bord SaaS peut ainsi déposer des éléments contrôlés par l'attaquant au cœur même de la réponse, sans la moindre étiquette signalant leur origine.

• Les liens Markdown injectés s'affichent comme des éléments cliquables ordinaires, sans mention de provenance : le lecteur ne peut distinguer l'URL d'un attaquant de celle que ChatGPT a rédigée lui-même.
• Les QR codes générés automatiquement, tirés d'un espace de stockage contrôlé par l'attaquant, échappent à toutes les protections du poste de travail (aperçu au survol, listes de blocage du navigateur, vérification de domaine du gestionnaire de mots de passe), car la destination n'apparaît qu'une fois le code scanné sur un second appareil.
• Les images distantes chargées via des raccourcisseurs d'URL se déclenchent à chaque affichage et transmettent en silence l'adresse IP de la victime, son type de navigateur et l'horodatage vers l'infrastructure de l'attaquant : une véritable balise de pistage passive.

Pourquoi un simple résumé devient une surface d'attaque

La conséquence concrète est troublante : c'est la partie la plus rassurante de l'échange, le résumé soigné de l'assistant, qui sert de vecteur. Une fausse notification « votre compte doit être vérifié » emprunte l'autorité visuelle de ChatGPT, et la variante par QR code est précisément conçue pour passer d'un ordinateur durci à un téléphone bien moins protégé. Pour une organisation, le basculement est très concret : dès qu'un collaborateur utilise la fonction « résumer cette page » sur un wiki public, le README d'un partenaire ou un lien transmis par un client, le résultat ne peut plus être considéré comme fiable. Vos équipes du support ou de la comptabilité ont mis des années à acquérir le réflexe de survoler un lien avant de cliquer dans un courriel, et ce réflexe n'existe pas encore face à un lien niché dans une réponse d'IA. Le problème de fond est celui que le projet OWASP a hissé en tête de son classement 2025 des risques liés aux grands modèles de langage : un modèle est incapable de séparer de façon fiable les instructions légitimes du texte malveillant enfoui dans les données qu'on lui demande de lire. Les barrières habituelles du navigateur n'y changent rien, puisque l'assistant agit dans la session authentifiée de l'utilisateur. Et ce défaut structurel, tout résumeur d'IA intégré au navigateur en hérite, pas seulement ChatGPT, tant qu'un étiquetage de l'origine n'est pas imposé.

Les bons réflexes

1. Considérez tout lien, alerte ou QR code apparu dans un résumé d'IA comme non fiable. Vérifiez la destination réelle avant d'agir : le résumé n'indique aucune provenance, un élément cliquable y mérite donc la même méfiance qu'un courriel venu d'un inconnu.
2. Ne résumez pas de pages non maîtrisées ou alimentées par les internautes. Fils Reddit, README publics, espaces de commentaires et blogs inconnus sont les porteurs naturels d'une charge injectée ; réservez le résumé automatique aux contenus auxquels vous faites déjà confiance, car la page constitue l'entrée de l'attaquant.
3. Limitez ce que vos outils d'IA peuvent faire dans le navigateur sans intervention humaine. Exigez une validation explicite avant toute interaction avec un lien au sein d'une réponse résumée, et surveillez les journaux d'activité à la recherche de requêtes d'images sortantes vers des domaines raccourcis ou inconnus, car c'est la balise de pistage qui se déclenche.

À retenir

ChatGPhish n'est pas une fuite de données. C'est un avertissement sur le déplacement de la confiance. À mesure que chacun laisse un assistant lire le web à sa place, la réponse de cet assistant devient une surface de publication qu'un tiers peut alimenter. Tant que ces outils n'indiqueront pas clairement quelles parties d'une réponse proviennent du web ouvert, une seule hypothèse reste prudente, aussi inconfortable soit-elle : un lien affiché dans un résumé d'IA ne mérite pas plus de confiance que la page quelconque qu'il résume. À mettre sur la table de votre prochaine réunion de sécurité, avant que quelqu'un ne scanne le mauvais QR code.