ChatGPhish : Comment des pirates exploitent les résumés web de ChatGPT pour vous piéger

Puisque ChatGPT ne nettoie pas suffisamment le contenu Markdown des pages web avant de l’afficher, toute page tierce consultée par le modèle devient un vecteur de phishing potentiel. Il ne s’agit pas d’une exploitation des serveurs d’OpenAI, mais d’une faiblesse de rendu côté client qui abuse de la confiance visuelle que l’utilisateur accorde à l’interface de ChatGPT.

L’arbre généalogique : les failles d’injection qui ont conduit à ChatGPhish

ChatGPhish n’est pas apparue du jour au lendemain. Elle est le dernier chapitre d’une escalade de plusieurs années dans les techniques d’injection de prompt, chaque nouvelle capacité ajoutée à ChatGPT (navigation web, exécution de code, extensions, mémoire) ouvrant de nouvelles surfaces d’attaque.

Voici les jalons clés sur le chemin menant à ChatGPhish :

• Novembre 2022 — Naissance de l’injection de prompt : Le concept est nommé et démontré contre GPT-3 treize jours seulement avant le lancement de ChatGPT le 30 novembre 2022. Quelques heures après ce lancement, des utilisateurs contournent déjà la couche de sécurité de l’assistant par des jeux de rôle ou de personnification .
• 2023–2024 — Injection indirecte et exfiltration de données par Markdown : Des chercheurs découvrent que le rendu d’images Markdown par ChatGPT peut être détourné pour fuiter l’historique des conversations. Les attaquants déposent des instructions malveillantes sur des sites publics ; lorsque ChatGPT interagit avec eux, il répond avec des balises d’images Markdown qui déclenchent automatiquement des requêtes vers des URLs externes, emportant avec elles les données exfiltrées .
• Mai 2024 — Exfiltration de données personnelles via la mémoire : Une publication scientifique montre que ChatGPT 4 et 4o sont vulnérables à des injections permettant de dérober les données personnelles des utilisateurs, la fonction de mémoire de l’assistant amplifiant l’exposition .
• Mars 2025 — CVE-2025-43714 (injection SVG/HTML) : On découvre que ChatGPT affiche les documents SVG directement dans le navigateur au lieu de les présenter comme du texte brut. Cela permet aux attaquants d’injecter du code HTML arbitraire, ouvrant la voie à des attaques de phishing directement dans l’interface .
• Février–Mars 2026 — Exfiltration par DNS et injection d’images Markdown : Check Point divulgue une vulnérabilité dans l’environnement d’exécution de code de ChatGPT qui permet un tunneling DNS pour siphonner les conversations. OpenAI la corrige le 20 février 2026. Un autre vecteur apparaît le même mois, utilisant des liens d’images Markdown malveillants pour exfiltrer les historiques de chat et les instructions système via des requêtes DNS .
• Mai 2026 — ChatGPhish : Cette vulnérabilité synthétise plusieurs fils : l’injection indirecte, le rendu Markdown non fiable et la fonction de résumé de page. Le changement majeur est que ChatGPhish est utilisée pour un phishing actif — présentant des contenus frauduleux en direct dans l’interface de confiance de ChatGPT — plutôt que pour la seule exfiltration furtive de données .

Chaque étape de cette chronologie montre le même schéma : une nouvelle capacité de ChatGPT ouvre une nouvelle surface d’injection, et le moteur de rendu Markdown se révèle être le maillon faible récurrent, car il fait implicitement confiance au contenu provenant de pages externes.

La réponse d’OpenAI à la fin mai 2026

Au 29–30 mai 2026, les rapports disponibles documentent la divulgation publique de ChatGPhish par Permiso Security le 29 mai, mais aucune déclaration publique ni correctif de la part d’OpenAI spécifique à cette vulnérabilité n’avait été signalé .

Il est important de noter qu’OpenAI n’est pas restée les bras croisés en matière de sécurité durant cette période. L’entreprise a géré deux incidents distincts en mai 2026, sans rapport avec ChatGPhish :

• 13 mai 2026 — OpenAI a publié sa réponse à l’attaque de la chaîne d’approvisionnement du paquet npm TanStack (surnommée « Mini Shai-Hulud »), confirmant que deux appareils d’employés avaient été compromis mais qu’aucune donnée utilisateur n’avait été consultée .
• 14 mai 2026 — L’entreprise a forcé la mise à jour de son application macOS ChatGPT dans le cadre de la maîtrise de ce même incident .

Le décalage entre la divulgation de ChatGPhish et une quelconque reconnaissance par OpenAI est significatif. Il laisse la surface de résumé web de ChatGPT exposée entre-temps, le public étant désormais au courant d’un chemin de phishing qui ne nécessite rien de plus que de demander à ChatGPT de résumer une page web soigneusement préparée.

Contexte plus large et implications

ChatGPhish est importante parce qu’elle attaque la confiance dans l’interface qui rend les assistants IA utiles. Lorsque ChatGPT navigue sur le web, résume une page et présente des liens dans sa propre interface, l’utilisateur n’a aucun signal visuel lui indiquant que ces liens proviennent d’une source tierce non fiable plutôt que d’OpenAI elle-même.

Les entreprises qui autorisent leurs employés à utiliser les fonctions de navigation de ChatGPT doivent traiter les résumés web comme une source de contenu non fiable jusqu’à ce qu’OpenAI publie un correctif. La vulnérabilité met également en lumière une tension architecturale récurrente : les assistants IA qui mélangent une interface utilisateur propriétaire avec des données tierces ont besoin de moteurs de rendu traitant tout contenu externe comme potentiellement hostile, et non comme un simple texte à afficher.