Chatbots IA: les extensions permettent l’exfiltration de données confidentielles
Des chercheurs de LayerX révèlent que des extensions de navigateur peuvent permettre d’injecter ou d’extraire des données dans les conversations avec des assistants GenAI, y compris dans des environnements professionnels censés être sécurisés.
La société de cybersécurité LayerX a récemment mis en lumière une méthode inédite permettant de compromettre la confidentialité des interactions avec les outils d’intelligence artificielle générative, qu’ils soient commerciaux ou développés en interne. Cette attaque cible un vecteur jusqu’ici négligé: les extensions de navigateur. Omniprésentes dans les environnements professionnels, ces dernières représentent une surface d’attaque particulièrement vaste et peu surveillée. Selon LayerX, 99 % des utilisateurs en entreprise utilisent des extensions et près de la moitié d’entre eux ont plus de dix extensions installées. Le risque est d’autant plus élevé que les assistants IA servent désormais à manipuler des informations sensibles: code source, documents juridiques, dossiers RH, stratégies d’entreprise ou rapports financiers.
DOM ouvert, données en danger
Baptisée «Man in the Prompt», la faille identifiée par LayerX tire parti de la manière dont les assistants IA sont intégrés dans les navigateurs. Le champ de saisie du prompt, qui permet à l’utilisateur d’interagir avec des modèles comme ChatGPT, Google Gemini ou Claude, fait partie du DOM (Document Object Model) de la page web. Toute extension installée dans le navigateur peut y accéder, même sans autorisation spécifique. Le plugin ainsi détourné peut injecter des instructions dans les prompts, récupérer les réponses générées par le modèle, voire effacer toute trace de son passage en supprimant l’historique des échanges.
LayerX a mené des tests sur les principaux chatbots GenAI du marché, notamment ChatGPT, Gemini, Claude, Copilot, DeepSeek, ainsi que sur des outils internes personnalisés. Dans chacun des cas, les chercheurs ont pu démontrer que des extensions malveillantes pouvaient compromettre les échanges avec l’IA. Certains outils ont montré une résistance partielle, mais aucun n’a su bloquer entièrement l’injection ou l’exfiltration.
Des preuves de concept aux implications concrètes
Deux scénarios d’exploitation illustrent la portée de cette faille: dans le premier, une extension sur ChatGPT interroge le modèle, exfiltre la réponse, puis efface l’historique; dans le second, une extension intégrée à Google Workspace exploite Gemini pour extraire des contenus sensibles – tels que courriels, documents ou résumés de réunions – même lorsque l’interface de Gemini est inactive. LayerX affirme avoir informé Google de la faille. Selon les chercheurs, bien que certaines protections aient été ajoutées à Gemini, le risque spécifique lié aux extensions de navigateur resterait non traité.
Souvent enrichis de données confidentielles et déployés dans des environnements jugés sécurisés, les assistants IA internes restent quant à eux vulnérables dès lors que le navigateur de l’utilisateur héberge une extension malveillante. La compromission se produit localement, sans franchir les frontières réseau, ce qui rendrait l’attaque difficile à détecter avec des outils traditionnels. Les solutions classiques de sécurité (type DLP, CASB, SWG) n'auraient en effet aucune visibilité sur les manipulations effectuées au niveau du DOM. Elles ne détectent ni les prompts injectés, ni les données volées en sortie.
LayerX appelle à une nouvelle approche de la sécurité des outils d’IA générative: surveillance des interactions DOM, détection comportementale des extensions et alertes en temps réel sur les manipulations ou les fuites de données.
