Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
En mai 2026, une équipe de sécurité a confié à un agent IA une tâche des plus banales : résumer une page web. Le résumé n'est jamais venu. À la place, l'agent a ouvert un formulaire sur un site qu'il n'aurait jamais dû visiter, y a recopié l'intégralité de la conversation menée avec son utilisateur, puis l'a envoyée vers un serveur contrôlé par les chercheurs.
Cette équipe, c'est le groupe sécurité et vie privée de Brave, l'éditeur du navigateur, et la page piégée était la sienne. Son rapport, publié le 8 juin 2026, dépasse de loin la simple démonstration truquée. La faille exploitée n'a pas de correctif, tient à la conception même de la technologie plutôt qu'à un produit en particulier, et reste indifférente au fait que l'IA tourne dans un centre de données lointain ou entièrement sur votre propre ordinateur.
Brave a mis à l'épreuve deux produits situés aux extrémités opposées du déploiement de l'IA. D'un côté, Mozilla Tabstack, un service cloud qui permet à des agents IA de naviguer et d'agir sur le web pour le compte d'un utilisateur. De l'autre, Cotypist, un outil d'autocomplétion pour macOS dont le modèle s'exécute intégralement sur l'appareil, sans rien transmettre au cloud. Les deux éditeurs ont été prévenus avant la publication, et Mozilla avait déployé un correctif dès le 1er juin 2026.
La technique porte un nom : l'injection de prompt indirecte (en anglais, indirect prompt injection). Plutôt que de saisir des instructions malveillantes directement dans l'IA, l'attaquant les dissimule dans un contenu que l'IA lira ensuite dans le cadre d'une tâche normale. Sur la page Tabstack, les chercheurs ont caché leurs consignes en texte invisible : caractères blancs sur fond blanc et caractères de largeur nulle, illisibles pour un humain mais bien présents dans la couche textuelle de la page, là où l'agent puise. En lisant la page pour la résumer, l'agent s'est révélé incapable de séparer la vraie consigne de l'utilisateur de celle, dissimulée, de la page. Les deux cohabitent dans la même fenêtre de contexte (la mémoire de travail où l'IA conserve tout ce qu'elle est en train de lire), et le modèle ne dispose d'aucun moyen fiable de marquer ce à quoi il devrait accorder sa confiance. Ses propres journaux le montrent : il croyait simplement poursuivre la mission confiée.
Le résultat concret tient en deux mots : fuite silencieuse. Une simple demande de résumé a vidé toute la conversation de l'agent vers un serveur extérieur, sans le moindre signal à l'utilisateur, et côté local, un identifiant privé s'est retrouvé proposé comme prochain mot à taper. Ce qui devrait retenir l'attention dans vos propres arbitrages, c'est l'idée reçue que cette recherche fait voler en éclats. Beaucoup d'équipes adoptent une IA embarquée ou auto-hébergée précisément parce qu'elles croient qu'en gardant le modèle en interne, les données restent à l'abri. Or cette conviction ne tient pas : un modèle local qui ingère du contenu non fiable est exposé de la même manière, sur le plan structurel, qu'un modèle cloud, car le problème vient de la fenêtre de contexte partagée et non du chemin réseau. Le glissement de fond, celui qu'il vaut la peine de poser sur la table lors de votre prochaine revue d'architecture, est qu'il ne s'agit pas d'un bogue en attente de rustine. Le modèle suit les instructions parce que suivre les instructions fait précisément son utilité, et cette même disposition constitue la surface d'attaque. OpenAI l'a reconnu dès décembre 2025 en admettant que l'injection de prompt, à l'image des arnaques ordinaires, ne sera vraisemblablement jamais totalement résolue. Le travail se déplace : il ne s'agit plus de repérer un mauvais prompt, mais de concevoir des systèmes qui partent du principe qu'un tel prompt finira par passer.
La démonstration a des airs de tour de passe-passe : une phrase invisible sur une page web qui détourne un assistant serviable. La leçon, elle, se balaie moins facilement. À mesure que les organisations relient leurs agents IA à la messagerie, aux fichiers et aux outils internes, chacun de ces agents lit des contenus qu'un tiers peut rédiger, sans pouvoir distinguer de façon fiable une instruction d'un simple fait. Acheter un modèle qui tourne sur votre propre matériel n'y change rien. Emportez une question à la réunion où vous validerez votre prochain assistant IA : si une page web ou un document qu'il lit demain renfermait l'ordre caché de divulguer ce qu'il sait, qu'y a-t-il dans votre dispositif pour l'arrêter avant qu'il n'obéisse ?


