ChatGPhish : ChatGPT transformé en outil de phishing Markdown

ChatGPhish : quand ChatGPT devient le vecteur de l'attaque

Le 29 mai 2026, Permiso Security a publié les détails techniques d'une nouvelle classe de vulnérabilité affectant ChatGPT, baptisée ChatGPhish. La découverte, réalisée par le chercheur Ahmeti de l'équipe Permiso, met en lumière un problème fondamental de confiance dans le moteur de rendu Markdown de ChatGPT : lorsque l'assistant résume une page web externe, il traite les liens Markdown et les URLs d'images contenus dans cette page comme des sources de confiance, les rendant sous forme d'éléments HTML interactifs et cliquables directement dans son interface, avec le même style visuel que ses réponses ordinaires.

Le mécanisme d'attaque est d'une simplicité inquiétante. Un attaquant insère un payload minimal dans n'importe quelle page web accessible — une page de résultats de recherche, un article de blog, une page de documentation publique, voire un commentaire sur un forum — sous la forme de liens Markdown ou de balises d'images au format attendu par le moteur de rendu de ChatGPT. Lorsqu'une victime demande ensuite à ChatGPT de résumer cette page, l'assistant fetch le contenu, rencontre les éléments Markdown malveillants et les intègre directement dans sa réponse, rendant des éléments interactifs qui proviennent en réalité de l'attaquant.

Ahmeti a démontré trois scénarios d'attaque distincts aux impacts croissants. Le premier concerne le tracking passif : en insérant une image hébergée sur une infrastructure attaquante dans une page qui sera résumée par ChatGPT, le fetch automatique de cette image au moment du rendu de la réponse révèle à l'attaquant l'adresse IP de la victime, son User-Agent et son en-tête Referer. Ces informations constituent le début d'un profil de reconnaissance exploitable pour des campagnes de ciblage ultérieures, le tout sans aucune interaction de la victime au-delà de sa requête de résumé.

Le deuxième scénario, plus direct dans son impact, concerne l'injection de liens de phishing. L'attaquant peut faire afficher par ChatGPT des URL malveillantes sous la forme de liens d'apparence tout à fait légitime, intégrés dans la réponse de l'assistant avec le même style typographique que ses réponses habituelles. La victime, faisant naturellement confiance à l'interface familière de l'assistant IA, est statistiquement plus susceptible de cliquer sur ces liens sans méfiance particulière, car ils apparaissent dans ce qui ressemble à une réponse ordinaire et fiable de ChatGPT.

Le troisième scénario exploite le rendu d'images inline pour afficher des QR codes malveillants directement dans l'interface ChatGPT. Cette technique permet de pivoter l'attaque du navigateur vers le mobile de la victime : en scannant un QR code affiché par ChatGPT dans ce qui ressemble à une réponse légitime, l'utilisateur est redirigé vers un site de phishing ou déclenche le téléchargement d'une application malveillante sur son smartphone. Cette capacité de pivotement cross-device représente une sophistication significative par rapport aux attaques de prompt injection précédemment documentées dans la littérature de sécurité IA.

Ahmeti a également démontré comment ChatGPhish peut servir à afficher des alertes de sécurité factices rédigées dans le style exact de ChatGPT — mêmes polices, mêmes couleurs, même structure de phrase. Cette capacité de social engineering renforcée par la crédibilité de l'interface IA représente une évolution substantielle dans les techniques de phishing : la victime ne reçoit pas un email suspect d'une adresse inconnue, mais voit une alerte affichée directement par son assistant IA habituel, dans son interface quotidienne.

Sur le plan de la divulgation responsable, Permiso a soumis le rapport initial à OpenAI via Bugcrowd le 29 avril 2026, sous le titre « Untrusted Markdown Rendering Leads to XSS, Phishing, and Data Exfiltration ». Un suivi a été effectué le 7 mai 2026 pour préciser les implications concernant le phishing, l'injection de QR codes et le tracking passif. La publication publique est intervenue le 29 mai 2026, soit 30 jours après la divulgation initiale. Selon les informations disponibles au moment de la publication, OpenAI n'a pas confirmé publiquement le déploiement d'un correctif.

Il est important de préciser que ChatGPhish n'exploite pas de vulnérabilité dans le modèle de langage lui-même, ni dans les mécanismes de génération de réponses. La faille réside dans la couche applicative de présentation : plus précisément dans la décision architecturale de faire confiance aux éléments Markdown provenant de pages web tierces résumées par l'assistant, en les rendant comme des éléments actifs et interactifs. C'est une erreur de séparation des contextes de confiance qui concerne potentiellement tout assistant IA intégrant des capacités de navigation web et de résumé de pages externes.

Le blog technique de Permiso Security, intitulé « ChatGPhish: The Page Is the Payload », détaille l'ensemble de la chaîne de preuve de concept, incluant les captures d'écran montrant les QR codes et les faux messages d'alerte apparaissant dans l'interface ChatGPT. The Register a également couvert la divulgation le 29 mai 2026, soulignant la dimension systémique de la vulnérabilité et l'absence de réponse publique d'OpenAI au moment de la publication.

Les assistants IA comme nouveaux vecteurs de phishing : une menace systémique émergente

ChatGPhish s'inscrit dans une tendance préoccupante observée depuis l'intégration massive des capacités de navigation web dans les assistants IA grand public. À mesure que ces outils acquièrent la capacité de consulter, résumer et synthétiser des contenus web en temps réel, ils deviennent par construction des intermédiaires entre des sources externes potentiellement hostiles et des utilisateurs qui leur font une confiance élevée. Cette position de « traducteur de confiance » entre le web et l'utilisateur crée une nouvelle classe de surface d'attaque que la quasi-totalité des modèles de sécurité traditionnels n'ont pas été conçus pour adresser.

La particularité de ChatGPhish est qu'elle n'exige aucune compromission de l'infrastructure d'OpenAI, aucune vulnérabilité dans le modèle de langage, et aucun accès privilégié. N'importe quel acteur malveillant capable de modifier le contenu d'une page web accessible publiquement — via une injection sur un site vulnérable, un article publié sur une plateforme de blogging, ou un résultat de recherche piégé — peut potentiellement atteindre les utilisateurs de ChatGPT qui demandent un résumé de cette page. La surface d'attaque est donc proportionnelle à l'étendue d'utilisation de la fonctionnalité de navigation web, qui concerne plusieurs centaines de millions d'utilisateurs actifs à l'échelle mondiale.

Cette vulnérabilité rappelle les problématiques d'injection de prompt indirect (indirect prompt injection) documentées depuis 2023 dans divers systèmes d'agents IA. La spécificité de ChatGPhish est qu'elle ajoute une dimension de rendu visuel actif : au lieu de simplement modifier le comportement du modèle via une instruction cachée dans du texte, elle exploite la couche d'affichage pour présenter des éléments interactifs (liens, images, QR codes) directement dans l'interface de confiance de l'assistant. C'est une escalade dans la chaîne d'attaque qui contourne des défenses potentielles au niveau du modèle pour cibler directement la couche présentation.

Pour les équipes de sécurité en entreprise, ChatGPhish soulève une question pratique immédiate : faut-il restreindre l'utilisation des fonctionnalités de navigation web des assistants IA dans les environnements professionnels ? Cette question n'a pas de réponse binaire simple, car ces fonctionnalités représentent souvent une part significative de la valeur productive de ces outils. La réponse adéquate passe probablement par la sensibilisation des utilisateurs aux risques spécifiques liés aux résumés de pages web par l'IA, et par une pression sur les éditeurs pour qu'ils implémentent des mécanismes de sandboxing plus stricts entre les contenus externes traités et les interfaces de rendu présentées aux utilisateurs finaux.

Ce qu'il faut retenir

• ChatGPhish exploite la confiance du moteur de rendu Markdown de ChatGPT pour injecter des liens de phishing, des trackers d'images et des QR codes malveillants dans les réponses générées lors de résumés de pages web.
• La vulnérabilité est indépendante du modèle de langage — elle touche la couche applicative et affecte potentiellement tous les assistants IA dotés de capacités de navigation web et de résumé de pages externes.
• En attendant un correctif d'OpenAI, faites preuve de vigilance accrue vis-à-vis des liens apparaissant dans les réponses ChatGPT générées à partir de pages web externes, et évitez de scanner des QR codes affichés par l'assistant suite à une requête de résumé de page.