OpenAI lance Lockdown Mode contre les injections de prompts

Ce qui s'est passé

Le 6 juin 2026, OpenAI a officiellement annoncé le déploiement de Lockdown Mode pour ChatGPT, une fonctionnalité de sécurité conçue pour réduire drastiquement la surface d'attaque exposée aux injections de prompts. Ce lancement marque une étape significative dans la prise en compte par les éditeurs d'IA générative des risques de sécurité inhérents à leurs plateformes, et répond à une demande croissante des équipes de sécurité en entreprise qui peinent à justifier le déploiement de ChatGPT dans des environnements traitant des données sensibles.

Les injections de prompts constituent l'une des vulnérabilités les plus répandues et les plus redoutées dans l'écosystème des assistants IA dotés de capacités agentiques. Le principe est simple mais dévastateur : des instructions malveillantes sont dissimulées dans le contenu que le modèle d'IA est amené à traiter — une page web, un document PDF, une image, ou même un e-mail. Lorsque ChatGPT navigue sur une page contenant ces instructions cachées, il peut être manipulé pour exécuter des commandes non souhaitées, contourner ses garde-fous de sécurité, ou exfiltrer des données vers des serveurs contrôlés par des attaquants. Ce type d'attaque est qualifié d'injection "indirecte" car l'instruction malveillante ne provient pas de l'utilisateur légitime, mais du contenu tiers traité par le modèle.

La montée en puissance des fonctionnalités agentiques dans ChatGPT a considérablement amplifié ce risque. Avec l'introduction de l'Agent Mode, de Deep Research, et des connecteurs Live permettant l'intégration avec des services tiers comme Google Drive, OneDrive ou Salesforce, la surface d'attaque exposée aux injections de prompts s'est élargie de façon exponentielle. Un utilisateur consultant des documents sensibles via ChatGPT peut ainsi involontairement déclencher l'exfiltration de ces données si un acteur malveillant a préalablement compromis l'un des services connectés ou les documents eux-mêmes. Des recherches académiques publiées en 2025 avaient déjà démontré la faisabilité d'attaques de type "worm" se propageant via des injections de prompts dans des systèmes multi-agents IA.

Lockdown Mode répond à ce défi en désactivant ou limitant sévèrement plusieurs fonctionnalités à risque. Lorsque le mode est activé, la navigation web est restreinte au contenu mis en cache — éliminant ainsi les requêtes réseau en temps réel qui pourraient être exploitées pour exfiltrer des données vers des serveurs extérieurs. Le support des images dans les réponses est supprimé, tout comme l'accès à Deep Research, à l'Agent Mode, aux réseaux Canvas, aux connecteurs Live, et aux téléchargements de fichiers. En substance, ChatGPT se retrouve confiné dans un environnement contrôlé, sans canal de communication sortant hors du réseau maîtrisé d'OpenAI. Aucune requête réseau en direct ne quitte l'infrastructure d'OpenAI lorsque le mode est actif, ce qui supprime le principal vecteur d'exfiltration de données.

OpenAI a également annoncé simultanément le déploiement d'Elevated Risk Labels, des étiquettes d'avertissement qui s'affichent lorsqu'une opération à risque élevé est demandée par l'utilisateur ou déclenchée par le modèle. Ces labels permettent aux utilisateurs de prendre des décisions éclairées avant d'autoriser des actions potentiellement dangereuses, en particulier dans un contexte professionnel où les conséquences d'une fuite de données peuvent être considérables. Cette approche s'inspire des meilleures pratiques de l'UX sécuritaire : plutôt que de bloquer systématiquement, informer l'utilisateur et lui restituer le contrôle de la décision finale.

Le déploiement est progressif et ciblé. Dans un premier temps, Lockdown Mode est accessible aux comptes personnels éligibles ainsi qu'aux abonnés ChatGPT Business en libre-service. OpenAI n'a pas communiqué de calendrier précis pour l'extension aux comptes Enterprise gérés par des administrateurs, mais la société indique que la fonctionnalité est destinée avant tout aux individus et organisations manipulant des données sensibles : professionnels du droit traitant des affaires confidentielles, médecins consultant des dossiers patients, conseillers financiers, cadres exposés à des informations stratégiques non publiques comme des fusions-acquisitions en cours.

Il est impératif de souligner les limites significatives de cette protection. Même avec Lockdown Mode activé, ChatGPT reste potentiellement vulnérable aux injections de prompts via le contenu mis en cache ou les fichiers téléversés par l'utilisateur lui-même. Un document Word ou PDF contenant des instructions cachées peut toujours manipuler le comportement du modèle — modifier ses réponses, lui faire révéler des informations sensibles issues d'autres parties de la conversation, ou l'amener à formuler des recommandations biaisées. OpenAI reconnaît explicitement cette limitation et précise que Lockdown Mode est une réduction du risque d'exfiltration réseau, pas une protection absolue contre toutes les formes d'injection de prompts.

Cette annonce intervient dans un contexte de compétition intense entre les grands éditeurs d'IA sur les fonctionnalités de sécurité. Selon SC Media et CybersecurityNews, le marché de l'IA agentique génère de nouvelles préoccupations chez les RSSI qui voient leurs utilisateurs adopter des outils IA sans évaluation de sécurité adéquate. Les incidents d'exfiltration via injection de prompts ne sont plus théoriques : plusieurs cas réels documentés en 2025 et début 2026 ont impliqué des assistants IA d'entreprise connectés à des services de stockage cloud. La réponse d'OpenAI avec Lockdown Mode vise à rassurer les entreprises du secteur régulé — finance, santé, défense — qui hésitaient jusqu'ici à déployer ChatGPT dans leurs workflows critiques.

Pourquoi c'est important

L'injection de prompts représente aujourd'hui l'un des vecteurs d'attaque les plus actifs contre les systèmes d'IA générative en environnement d'entreprise. Contrairement aux vulnérabilités logicielles classiques qui peuvent être corrigées par un patch, les injections de prompts exploitent une caractéristique fondamentale des grands modèles de langage : leur incapacité native à distinguer les instructions légitimes de l'utilisateur des instructions malveillantes dissimulées dans le contenu traité. C'est une limitation architecturale, pas un bug, ce qui rend la défense particulièrement complexe et les solutions nécessairement partielles. OWASP a classé l'injection de prompts en tête de sa liste des dix risques critiques pour les applications d'IA en 2025.

Pour les entreprises qui déploient ChatGPT dans leurs processus internes, les risques sont multiples. Une injection réussie peut conduire à l'exfiltration de données confidentielles vers des serveurs d'attaquants, à la manipulation de décisions critiques (approbation de transactions, rédaction de contrats), ou encore au contournement de politiques d'utilisation acceptables. Dans les secteurs réglementés comme la finance (DORA) ou la santé, une telle compromission peut entraîner des sanctions réglementaires en plus des dommages opérationnels et réputationnels.

La décision d'OpenAI de proposer Lockdown Mode répond à une pression croissante des entreprises qui adoptent des politiques d'IA responsable. Selon Gartner, plus de 40 % des grandes entreprises disposent désormais d'une politique formelle d'utilisation de l'IA générative, et la sécurité des données est systématiquement citée comme le premier frein à l'adoption. En proposant un mécanisme de confinement explicite, OpenAI offre un levier concret aux équipes sécurité pour justifier l'autorisation de ChatGPT dans leurs environnements, sans devoir s'appuyer uniquement sur des politiques d'usage acceptables dont l'application reste difficile à contrôler.

Cette initiative est également à mettre en perspective avec la dynamique concurrentielle du marché. Microsoft Copilot, intégré dans l'écosystème Microsoft 365, bénéficie de contrôles de sécurité enterprise plus matures via l'intégration native avec Microsoft Purview et Defender. Google Gemini pour Workspace avance des arguments similaires via sa suite de contrôles d'administration. Le lancement de Lockdown Mode permet à OpenAI de réduire l'écart en matière de gouvernance de la sécurité, un facteur de différenciation devenu central dans les décisions d'achat des directions informatiques des grands groupes.

Ce qu'il faut retenir

• Lockdown Mode désactive la connectivité externe de ChatGPT (navigation live, Agent Mode, connecteurs) pour bloquer l'exfiltration de données via injection de prompts indirecte.
• La protection reste partielle : le contenu en cache et les fichiers téléversés peuvent toujours contenir des payloads malveillants capables de manipuler le modèle.
• Les organisations traitant des données sensibles doivent évaluer leur niveau de risque résiduel et compléter Lockdown Mode par des politiques de gouvernance IA adaptées à leur secteur.