Depuis mon retour sur LinkedIn, quelque chose me grattait sans que je sache exactement quoi. La bulle IA est partout, impossible de la rater. Des outils pour tout, des promesses de simplification pour tout, des témoignages enthousiastes pour tout. Gérer tes emails. Rédiger tes réponses. Trier, classer, prioriser, automatiser. La magie à portée de clic.

Le truc grattait et je n’arrivais pas à mettre le doigt dessus.

Puis une phrase, croisée en passant dans la documentation d’un outil : « Attention, l’outil peut être victime d’injection de prompt malicieux s’il a accès à des ressources non contrôlées ou non sécurisées. »

J’aurais pu passer dessus. J’ai creusé.

Comme ça touche à de la cybersécurité, j’en ai parlé à mon référent personnel dans le domaine, mon fils, déjà très actif dans le secteur. Ce n’est pas quelqu’un qui répète ce qu’il a lu, ni quelqu’un qui dramatise. Sa démonstration a duré peut-être deux ou trois minutes.

C’est là que ma mâchoire s’est décrochée.

Pas à cause de l’outil dont on parlait au départ. À cause de ce que j’ai vu derrière : l’immensité du problème, et à quel point il nous concerne tous, maintenant, sans qu’on en ait la moindre conscience.

On croyait ouvrir un paquet cadeau, on a ouvert une boîte de Pandore.

Le clic qui a tout ouvert

Avant de te montrer ce qui sort de la boîte, il faut qu’on parle du moment où tu l’as ouverte.

Parce que tu vas me dire : je ne me souviens pas d’avoir ouvert quoi que ce soit. Je n’ai pas cliqué sur un lien bizarre. Je n’ai pas répondu à un email suspect. Je suis prudent, je connais les règles de base.

Et tu as raison. Ce clic-là, tu ne l’as pas fait. Ou pas encore.

Mais il y en a un autre. Celui d’il y a une semaine, deux mois, ou un an : le jour où tu as activé l’assistant IA sur ta boîte mail pro ou perso. Ou dit oui à Copilot dans Outlook parce que l’intégration était proposée par défaut et que ça avait l’air pratique. Ce jour-là, tu as donné les clés.

Pas à un inconnu. À un outil de confiance, fourni par un éditeur sérieux, avec des conditions d’utilisation que personne ne lit jamais jusqu’au bout.

Le problème n’est pas l’outil. Le problème, c’est ce que ce clic a changé sans que tu t’en rendes compte : ta surface d’attaque s’est agrandie d’un coup, dans une direction que tu ne regardais pas. Ta boîte mail n’est plus seulement ta boîte mail. C’est une porte. Et derrière cette porte, il y a une IA qui lit tout, qui peut répondre, qui peut agir, et qui peut être manipulée par n’importe qui sachant comment s’y prendre.

La boîte est ouverte. Voyons ce qui en sort.

Premier fléau : la campagne de masse aveugle

Dans le mythe, quand la boîte de Pandore s’ouvre, les fléaux ne choisissent pas leurs victimes. Ils se répandent. Partout. Sur tout le monde.

C’est exactement comme ça que commence ce type d’attaque.

L’attaquant n’a pas besoin de te connaître. Il n’a pas besoin de savoir si tu as un assistant IA sur ta boîte mail ou lequel. Il envoie. Des milliers d’emails, des millions si l’infrastructure le permet, exactement comme du spam classique. Le contenu est anodin en apparence. Rien qui déclenche un filtre, rien qui alerte un antivirus. Mais à l’intérieur, cachées dans le corps du message, dans les métadonnées, dans des caractères Unicode qui ne s’affichent pas à l’écran, il y a des instructions. Des instructions rédigées pour être lues non pas par toi, mais par l’IA qui gère ta boîte à ta place.

Si tu n’as pas d’IA, l’email est inoffensif. Il passe, il s’oublie, il finit peut-être en spam.

Si tu en as une, elle lit. Elle obéit.

Ta boîte mail est devenue la nouvelle boîte de Pandore. L’attaquant envoie, et attend que les boîtes lui répondent d’elles-mêmes.

En terme de hacking, c’est du Zeroclick, Zeroshow. Pas d’interaction humaine requise. Pas de lien à cliquer, pas de pièce jointe à ouvrir, pas d’erreur à faire. L’email arrive, l’IA le lit, le fléau s’active. Tu n’as rien vu. Tu n’as rien fait. Tu n’étais même pas là.

Deuxième fléau : le compte retourné

Une fois que l’IA a obéi, l’attaquant sait quelque chose d’utile : cette boîte-là est manipulable. Et ce qu’il peut en faire devient autrement plus intéressant.

Au départ, la plupart des assistants email demandent confirmation avant d’agir. Envoyer un email, déplacer un message, répondre à ta place : l’outil te propose, tu valides. C’est rassurant. Ça donne l’impression de garder la main.

Mais c’est la nature humaine : on surveille au début, puis on délègue vraiment. On a pris l’outil pour ne plus s’en occuper, pas pour valider chaque action une par une. Alors on passe en mode automatique. On donne les pleins pouvoirs. Et c’est là que la surface d’attaque devient maximale.

Mais il reste un garde-fou, tu me diras : l’IA a des règles, des limites. Elle ne va pas faire n’importe quoi sur instruction d’un inconnu.

C’est vrai. Et c’est là qu’intervient ce que les spécialistes appellent le jailbreak.

Le jailbreak, c’est l’art de faire violer à une IA ses propres règles, à son insu, sans qu’elle en ait conscience. Pas en cassant le système de l’extérieur. En le manipulant de l’intérieur, par le langage, par des instructions habilement formulées qui contournent les garde-fous sans les déclencher. Pense au mot de contrôle qu’un hypnotiseur glisse à quelqu’un qu’il a préalablement hypnotisé. Un mot, et la personne s’exécute. Elle est parfaitement consciente, elle sait ce qu’elle fait mais elle ne peut rien empêcher. Le jailbreak, c’est exactement ça. Sauf que quand ça arrive à l’IA qui gère ta boîte mail, c’est nettement moins drôle qu’avec Mesmer.

Mon fils me l’a montré en deux minutes. Ce n’est pas de la science-fiction réservée aux laboratoires. Ce sont des techniques documentées, publiées, testées, qui fonctionnent sur toutes les grandes IA du marché. Les groupes cybercriminels organisés ont tout leur temps pour les perfectionner.

Une fois ce verrou ouvert, l’attaquant a accès à tout ce que l’IA peut faire. Et l’IA qui gère ta boîte ne se contente pas de lire les emails qui arrivent. Elle a accès à tout : les emails reçus, les emails envoyés, les contacts, les habitudes, le ton que tu utilises avec chaque interlocuteur. Elle sait comment tu salues ton comptable. Elle connaît les dossiers en cours, les projets mentionnés en passant, les formules affectueuses avec untel, le ton formel avec tel autre.

Elle peut écrire à ta place. Mieux que ça : elle peut écrire comme toi.

Tu as peut-être déjà reçu un email depuis une boîte piratée. En général, ça se voit. Le ton cloche, la formule d’appel est générique, le sujet tombe à côté. Le red flag est là, souvent immédiat. Là, c’est différent. L’IA a lu six mois de ta correspondance. Elle ne cloche pas. Elle sonne juste.

Et ce qu’elle envoie depuis ton compte est techniquement irréprochable. SPF valide. DKIM signé. DMARC aligné. Tout ce que je préconise depuis des années pour garantir qu’un expéditeur est au vert. Les filtres voient un email parfait, parce que c’est un email parfait. Il part bien de ton compte, de ton serveur, avec ta signature cryptographique.

La chaîne de confiance que tu as construite, ou que ton prestataire a construite pour toi, se retourne contre toi.

Troisième fléau : la porte et le monstre qui est tapi derrière

L’IA n’est pas retournée de manière permanente, c’est important de le comprendre.

Le jailbreak opère dans une fenêtre précise : le temps du traitement d’un email. Chaque email est traité dans son propre contexte, qui se ferme une fois le message traité. L’attaquant exploite cette fenêtre, pas l’IA dans sa globalité.

Ce qui ne veut pas dire que les dégâts sont limités dans le temps.

Parce que dans cette fenêtre, l’IA a souvent accès à l’historique complet de ta boîte : c’est précisément ce qui la rend utile au quotidien. Elle connaît tes contacts, tes dossiers en cours, ton style. Un attaquant peut s’en servir en temps réel pour forger quelque chose de redoutablement crédible. Un message au comptable qui mentionne le bon dossier. Une demande au directeur financier avec le bon niveau de familiarité. Pas besoin de surveillance longue durée. Une lecture instantanée suffit.

Et depuis ton compte compromis, l’IA peut envoyer. Vers tout ton répertoire, avec ta signature légitime. Un lien dans un email anodin qui déclenche un ransomware sur le poste du destinataire. Brutal, immédiat, rentable. Mais c’est très peu discret : les dégâts se voient vite, la source aussi. Ce n’est pas un problème pour les cybercriminels : ils vont faire ce qu’ils font le mieux, exploiter au maximum une faille, extraire jusqu’à la dernière goutte, siphonner tant que le robinet n’est pas fermé.

Mais le scénario le plus inquiétant est ailleurs.

Ce même lien peut installer une backdoor. Silencieusement. Sans clic suspect, sans fichier dont on se méfierait. Le destinataire reçoit un email de toi. Il clique. C’est fait.

Et là, la nature de la menace change totalement.

La backdoor n’est pas dans un conteneur. Elle n’est pas sandboxée. Elle n’a pas de fenêtre de traitement qui se ferme. Elle est permanente, patiente, invisible. Elle observe, elle attend, elle cartographie : qui décide, qui signe, qui transfère des fonds, qui fait confiance à qui sans poser de questions. Et quand le moment est bon, elle repasse par un email, forgé, personnalisé, parfait. La fraude au président 2.0. Pas celle des débuts, avec l’email générique et le numéro de compte étranger. Celle qui connaît le prénom de la secrétaire, le projet en cours, et la formule exacte que tu utilises quand tu es pressé.

L’IA était la porte. La backdoor est le monstre tapi dans notre ombre.

La nouvelle porte d’entrée non défendue

Tu vas me dire : tout ça existait avant. Les backdoors, la fraude au président, le spear-phishing chirurgical. Ce n’est pas nouveau.

Tu as raison. Ce qui est nouveau, c’est la porte d’entrée.

Avant, forcer cette porte demandait quelque chose : une erreur humaine, un clic, une pièce jointe ouverte trop vite, un mot de passe faible. Un moment d’inattention. Les campagnes de sensibilisation des dix dernières années ont porté là-dessus : apprendre aux gens à ne pas cliquer, à vérifier, à douter.

L’IA a rendu tout ça caduc. Pas de clic requis. Pas d’erreur humaine nécessaire. L’email arrive, l’IA le lit, la porte s’ouvre. L’humain qui depuis dix ans était le maillon faible n’est même plus dans l’équation.

La surface d’attaque que tu croyais maîtriser, ou que tu avais au moins appris à surveiller, vient de s’agrandir dans une direction que personne ne t’avait montrée. Et cette porte n’a pas encore de gardien.

Les éditeurs travaillent dessus. Les chercheurs en sécurité publient. Les correctifs s’empilent. Mais c’est un match où les défenseurs peuvent encaisser mille tirs sans broncher : il suffit d’un seul but des attaquants. Un seul. Et c’est terminé. Option but en or activée en permanence, sans négociation possible.

C’est peut-être de la prospective pour toi qui lis ces lignes. C’est certainement la réalité d’aujourd’hui pour d’autres.

Au fond de la boîte

Retournons à notre boîte de Pandore.

Dans le mythe, au fond de la boîte, il reste l’espoir. C’est ce qui sauve l’humanité. C’est la consolation du mythe.

Au fond de notre boîte, il n’y a pas d’espoir.

Il y a un papier plié en quatre. Le genre qu’on trouve dans un fortune cookie, une fois que t’as payé l’addition.

Il dit : « Fallait réfléchir avant d’ouvrir. » Les jeunes traduiront par Cheh.

Il te reste deux options.

La première : trouver une DeLorean, remonter au jour où tu as cliqué sur « Activer », et ne pas cliquer. Préviens-moi si tu en trouves une à prix raisonnable : je pense que la demande va exploser avec la sortie de cet article.

La deuxième : redevenir moldu. Désactiver l’assistant magique. Reprendre ta boîte à la main, comme avant, comme un humain qui lit ses emails lui-même. Ce n’est pas glamour. Ce n’est pas dans l’air du temps. Mais au moins, Voldemort ne s’invitera pas dans ta boîte mail à ton insu.

 

Charles Boone Fondateur de Wefficient, auteur de Snipemail.com depuis 2006, fait de la prospective emailing depuis 20 ans.