- Check Point Research a découvert une faille dans ChatGPT permettant une exfiltration silencieuse de données via l’abus du DNS et l’injection de prompt
- La vulnérabilité permettait aux attaquants de contourner les garde-fous et de voler des données sensibles d’utilisateurs au moyen de requêtes de domaine dissimulées
- OpenAI a corrigé le problème le 20 février 2026, marquant la deuxième correction majeure de la semaine après une faille d’injection de commande dans Codex
OpenAI a corrigé une vulnérabilité dans ChatGPT qui permettait à des acteurs malveillants d’exfiltrer discrètement des données sensibles de leurs cibles.
La faille a été découverte par les experts en sécurité de Check Point Research (CPR), qui ont averti qu’elle combinait des injections de prompt classiques avec un contournement des garde-fous intégrés, précisant : « Les outils d’IA ne doivent pas être considérés comme sûrs par défaut ».
Aujourd’hui, de nombreuses personnes partagent rapidement des données très sensibles avec ChatGPT : pathologies, contrats, fiches de paie, captures d’écran de conversations avec des partenaires ou des conjoints, et bien plus encore. Elles partent du principe que ces informations sont sécurisées, puisqu’elles ne peuvent pas être extraites de l’outil sans leur connaissance ou leur consentement.
Le trafic DNS n’est pas considéré comme risqué
En théorie, c’est exact. Les données peuvent être exfiltrées via HTTP ou par des API externes, et ces deux canaux peuvent être détectés, ou au moins surveillés. Cependant, CPR a adopté une approche différente et a identifié une nouvelle méthode pour extraire les informations : via le DNS.
« Bien que l’accès direct à Internet ait été bloqué comme prévu, la résolution DNS restait disponible dans le cadre du fonctionnement normal du système », ont-ils expliqué. « Le DNS est généralement considéré comme une infrastructure inoffensive, utilisée pour résoudre des noms de domaine et non pour transmettre des données. Pourtant, le DNS peut être détourné comme mécanisme de transport dissimulé en encodant des informations dans des requêtes de domaine. »
Comme l’activité DNS n’est pas identifiée comme un partage de données sortantes, ChatGPT n’affiche aucune demande d’autorisation, ne montre aucun avertissement et ne reconnaît pas ce comportement comme intrinsèquement risqué.
« Cela a créé un angle mort. La plateforme supposait que l’environnement était isolé. Le modèle supposait qu’il opérait entièrement au sein de ChatGPT. Et les utilisateurs supposaient que leurs données ne pouvaient pas sortir sans leur consentement », a déclaré CPR. « Ces trois hypothèses étaient raisonnables, mais toutes trois étaient incomplètes. C’est un enseignement essentiel pour les équipes de sécurité : les garde-fous de l’IA se concentrent souvent sur les politiques et les intentions, tandis que les attaquants exploitent l’infrastructure et les comportements. »
Pour déclencher l’attaque, ChatGPT doit toujours recevoir un prompt initial. Le déclencheur doit donc être activé. Cela peut se faire de multiples façons, notamment en injectant un prompt malveillant dans un e-mail, un document PDF ou via un site web.
Il existe toutefois d’autres moyens d’exploiter cette faille sans que GPT n’exécute accidentellement un prompt dissimulé, notamment via des GPT personnalisés.
Par exemple, un groupe de pirates peut créer un GPT personnalisé se présentant comme un médecin personnel. Les victimes pourraient y téléverser des résultats d’analyses contenant des informations personnelles et demander un avis, tout en recevant l’assurance que leurs données ne sont pas partagées.
En réalité, un serveur contrôlé par les attaquants recevrait l’ensemble des fichiers téléversés. Plus inquiétant encore, GPT n’a même pas besoin d’envoyer des documents complets : seules les informations essentielles peuvent être exfiltrées, rendant le processus plus léger, plus rapide et plus efficace.
Heureusement, CPR a découvert cette vulnérabilité avant qu’elle ne soit exploitée dans la nature. Elle a été signalée de manière responsable à OpenAI, qui a déployé une correction complète le 20 février 2026.
Correctifs pour ChatGPT et Codex
Il s’agit de la deuxième vulnérabilité majeure qu’OpenAI a dû corriger cette semaine. Plus tôt dans la journée, TechRadar Pro rapportait que ChatGPT Codex comportait une faille critique d’injection de commande permettant à des acteurs malveillants de voler des jetons d’authentification GitHub sensibles.
OpenAI a ainsi corrigé une vulnérabilité liée à la manière dont Codex traitait les noms de branches lors de la création de tâches. L’outil permettait à un acteur malveillant de manipuler le paramètre de branche et d’injecter des commandes shell arbitraires lors de la configuration de l’environnement. Ces commandes pouvaient exécuter n’importe quel code dans le conteneur, y compris du code malveillant. Les chercheurs de Phantom Labs ont indiqué avoir réussi à extraire des jetons OAuth GitHub de cette manière, obtenant un accès à un projet tiers théorique et utilisant ces jetons pour se déplacer latéralement au sein de GitHub.
