Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Dify fait tourner plus d'un million d'applications d'intelligence artificielle, et des groupes comme Volvo, Maersk, Panasonic ou Thermo Fisher s'appuient dessus. Le 22 juin 2026, des chercheurs ont montré qu'un simple compte gratuit sur la version cloud de Dify permettait de rediriger discrètement les conversations du chatbot d'une autre entreprise vers soi, puis d'en lire chaque question posée et chaque réponse renvoyée par le modèle.
Aucun mot de passe n'a été dérobé, aucun logiciel malveillant déposé : l'attaquant se contentait d'activer une fonction censée appartenir à quelqu'un d'autre. Ce détail résume toute l'affaire, et il en dit long sur l'endroit où se logent désormais les données les plus sensibles d'une organisation.
Les travaux émanent de Zafran Security, dont les chercheurs Ido Shani et Gal Zaban ont documenté quatre failles distinctes, dont deux jugées critiques, réunies sous le nom de DifyTap. Dify est une plateforme LLMOps open source, c'est-à-dire la tuyauterie qui sert à construire et exploiter des chatbots, des systèmes de recherche documentaire et des workflows d'IA. Sa version cloud, hébergée sur cloud.dify.ai, est multi-tenant : de nombreuses organisations y partagent un même socle technique. Or trois des quatre failles permettaient à un client de franchir cette cloison commune pour atteindre les données d'un autre. Les chercheurs ont par ailleurs recensé des dizaines de milliers d'instances Dify directement exposées sur Internet.
La faille la plus grave, référencée CVE-2026-41947 (notée 9,1 sur 10), détourne une fonction de supervision appelée tracing. Le tracing sert normalement à envoyer les journaux de conversation de votre propre application vers un fournisseur d'analyse externe, afin d'en suivre les performances ; ces journaux contiennent les requêtes réelles et les réponses du modèle. Le problème : Dify ne vérifiait jamais que la personne activant le tracing sur une application en était bien la propriétaire. Il suffisait à l'attaquant de connaître l'identifiant interne de l'application, que Dify communique ouvertement à quiconque l'ouvre en tant qu'utilisateur ordinaire. Muni de cet identifiant, il pouvait rediriger l'intégralité du flux de conversation vers son propre compte d'analyse. L'image la plus parlante est celle d'un ordre de réexpédition déposé sur la boîte aux lettres d'un voisin : tout le courrier à venir arrive chez vous, et le destinataire légitime ne remarque rien.
L'exposition est large : historiques de conversation et fichiers téléversés appartenant aux clients d'une plateforme qui propulse un million d'applications, le tout accessible à qui acceptait de remplir un formulaire d'inscription. Rien n'indique pour l'instant que ces failles aient été exploitées avant le correctif, et trois des quatre ont été refermées dans la version 1.14.2, parue en mai 2026. Ce qu'il faut retenir tient à l'angle mort qu'elles révèlent. Dans un chatbot, les utilisateurs déposent leurs informations les plus brutes : clauses contractuelles, fiches clients, code source, ébauches de stratégie. Si vos équipes ont mis en service un assistant interne sur une plateforme d'IA mutualisée cette année, la transcription de chacun de ces échanges réside dans la base de cette plateforme, et la seule chose qui la sépare des données du client voisin est une série de contrôles d'autorisation dispersés sur des dizaines de points d'accès internes. DifyTap montre à quoi ressemble un seul de ces contrôles manquant. L'attaque par tracing est la plus sournoise, car elle ne s'introduit pas une fois pour repartir aussitôt : elle installe un flux permanent, et l'écoute se poursuit tant que personne ne songe à la chercher. Le phénomène va se répéter. Quelques semaines plus tôt, Zafran avait déjà relevé une classe de bogue quasi identique dans un autre cadriciel d'IA, et la difficulté de fond, isoler les clients au sein d'une infrastructure d'IA en évolution rapide, est précisément celle que l'informatique en nuage a mis quinze ans à maîtriser.
DifyTap n'a exigé aucun exploit sophistiqué. Il a suffi d'un compte gratuit et d'un réglage qui accordait sa confiance à la mauvaise personne. À mesure que les organisations se précipitent pour bâtir sur des plateformes d'IA mutualisées, les conversations et les documents qu'elles y déversent deviennent leur bien le plus précieux, et les cloisons entre un client et le suivant sont plus récentes et plus minces que celles qui entourent une base de données classique. Posez une seule question lors de votre prochaine revue de sécurité : si un inconnu s'inscrivait sur la plateforme d'IA qui héberge vos projets, qu'est-ce qui l'empêcherait de lire ce que votre chatbot a appris aujourd'hui ?


