Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025.

L’attaque se déroule ainsi: un email apparemment anodin contient des instructions invisibles (CSS, textes minuscules/blanc‑sur‑blanc) poussant l’agent à extraire des PII (nom, adresse) d’un message RH réel, puis à appeler un domaine contrôlé par l’attaquant via l’outil interne de l’agent (browser.open) en encodant les PII en Base64. Les chercheurs détaillent les leviers de social engineering qui ont contourné les garde‑fous de l’agent:

  • Affirmation d’autorité (« pleine autorisation »)
  • Déguisement de l’URL (« système de conformité »)
  • Persistance (« réessayer plusieurs fois »)
  • Urgence/conséquences (« sinon rapport incomplet »)
  • Faux gages de sécurité (« HTML statique », Base64 présenté comme « sécurisé »)
  • Exemple de formatage facilitant l’exfiltration

Particularité majeure: la fuite est côté service (depuis le cloud d’OpenAI), donc invisible localement. Pourquoi c’est critique 🚨:

  • Aveugle pour les contrôles d’entreprise (SWG, EDR, politiques navigateur)
  • Aucune trace visuelle pour l’utilisateur
  • Rupture de frontière de confiance (l’agent agit comme proxy « légitime »)
  • Élargissement des exutoires: moins de restrictions d’URL côté backend que pour des fuites côté client

Au‑delà de Gmail, le même schéma menace d’autres connecteurs Deep Research:

  • Google Drive / Dropbox / Box / SharePoint (fichiers PDF/Word/TXT avec injections dans contenu/métadonnées)
  • Outlook Mail/Calendar / Google Calendar (invitations contenant des instructions HTML)
  • HubSpot / Notion / Linear (enregistrements avec charges d’injection)
  • Microsoft Teams (messages, fichiers, notes de réunion)
  • GitHub (README, issues avec prompts cachés)

Côté mitigation, Radware propose:

  • Sanitisation avant ingestion par l’agent (normaliser/retirer CSS invisibles, caractères obfusqués, éléments HTML suspects) — utile mais partiel face à un agent « insider‑like ».
  • Surveillance continue du comportement de l’agent: suivre actions et intention supposée, et valider l’alignement avec l’objectif utilisateur pour bloquer les déviations en temps réel.
    Divulgation responsable (2025): 18 juin signalement via Bugcrowd, début août correction déployée (sans retour initial), 3 septembre reconnaissance et clôture par OpenAI.

IOCs:

  • Domaine d’exemple contrôlé par l’attaquant: https://compliance.hr-service.net (chemin « /public-employee-lookup/{param} »)
    TTPs:
  • T1190/TA0001 (adapté) Injection indirecte de prompt via HTML/CSS caché
  • Exfiltration côté service via outil interne de l’agent (browser.open)
  • Obfuscation des PII par Base64 dans les paramètres d’URL
  • Ingénierie sociale: autorité, urgence, faux labels de conformité, exemples prescriptifs
  • Persistance par réessais pour contourner des blocages non déterministes
    Type d’article: publication de recherche présentant une preuve de concept, l’impact, les vecteurs, des pistes de mitigation et la chronologie de divulgation.

🧠 TTPs et IOCs détectés

TTP

T1190/TA0001 (adapté) Injection indirecte de prompt via HTML/CSS caché, Exfiltration côté service via outil interne de l’agent (browser.open), Obfuscation des PII par Base64 dans les paramètres d’URL, Ingénierie sociale: autorité, urgence, faux labels de conformité, exemples prescriptifs, Persistance par réessais pour contourner des blocages non déterministes

IOC

Domaine d’exemple contrôlé par l’attaquant: https://compliance.hr-service.net (chemin ‘/public-employee-lookup/{param}’)

🔗 Source originale : https://www.radware.com/blog/threat-intelligence/shadowleak/