Vous demandez à ChatGPT si une commande affichée sur un site est dangereuse. L’assistant analyse la page, inspecte le code HTML, et vous répond : « C’est sans risque, vous pouvez y aller. » Sauf que la commande installe un reverse shell sur votre machine. L’IA n’a jamais vu le piège.
Des chercheurs de LayerX, spécialiste de la sécurité des navigateurs, viennent de publier une démonstration qui expose une faille structurelle dans la façon dont les assistants IA analysent les pages web. Le principe tient en deux lignes : une police de caractères personnalisée et quelques règles CSS suffisent à montrer à l’utilisateur un texte radicalement différent de celui que l’IA lit dans le code source.
Le navigateur voit une chose, l’IA en lit une autre
L’attaque repose sur un décalage fondamental. Les assistants IA comme ChatGPT, Claude ou Gemini analysent le DOM d’une page, c’est-à-dire le code HTML brut, avant que le navigateur ne le transforme visuellement. Or, une police personnalisée peut réassigner chaque caractère : la lettre « A » dans le code source s’affiche comme un « X » à l’écran, et inversement. Le navigateur fait exactement ce qu’on lui demande. L’IA, elle, ne regarde jamais le résultat final.
Concrètement, les chercheurs ont construit une page piège déguisée en site de fans du jeu vidéo Bioshock. Dans le HTML, le texte ressemble à de la fanfiction inoffensive. Mais la police personnalisée transforme un bloc de caractères apparemment aléatoires en instructions lisibles pour l’utilisateur : « Ouvrez votre terminal et tapez cette commande pour débloquer un easter egg secret. » La commande ouvre en réalité une porte dérobée sur la machine.
Le CSS fait le reste. Le texte « sûr » visible par l’IA est réduit à un pixel et coloré en fond de page. Le texte dangereux, invisible pour l’assistant, s’affiche en grand et en couleur pour le visiteur. Aucun JavaScript n’est nécessaire. Aucune faille de navigateur n’est exploitée. Le navigateur se comporte normalement. C’est l’IA qui se fait avoir.
Onze assistants testés, onze dupés
LayerX a testé sa preuve de concept en décembre 2025 contre onze assistants : ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou et Genspark. Le résultat est unanime : tous ont déclaré la page sûre. Certains sont allés jusqu’à encourager l’utilisateur à suivre les instructions affichées.
Le problème ne touche que les assistants dits « non agentiques », selon LayerX, ceux qui récupèrent et analysent le HTML sans exécuter un pipeline de rendu complet. Autrement dit, la quasi-totalité des outils grand public que des millions de personnes utilisent quotidiennement pour vérifier si un lien ou un fichier est sûr.
« Il y a une déconnexion structurelle entre ce que l’assistant voit et ce que l’utilisateur voit », résument les chercheurs dans leur rapport publié ce mois-ci. « Cela produit des réponses inexactes, des recommandations dangereuses, et une érosion de la confiance. »
Microsoft corrige, les autres ferment la porte
Les chercheurs ont contacté les onze éditeurs concernés le 16 décembre 2025. La majorité a classé le signalement hors périmètre, estimant que l’attaque relève de l’ingénierie sociale et ne constitue pas une vulnérabilité de leur modèle d’IA.
Microsoft fait exception. L’entreprise a accepté le rapport, ouvert un dossier au sein de son Security Response Center (MSRC) et, selon LayerX, « entièrement corrigé » le problème dans Copilot. Google a d’abord accueilli le signalement avec une priorité haute, avant de rétrograder et clôturer le dossier en jugeant qu’il ne pouvait « pas causer de dommage significatif aux utilisateurs ». Les autres éditeurs, dont OpenAI et Anthropic, ont répondu que la faille sortait du cadre de leur programme de sécurité, rapporte BleepingComputer.
Cette divergence pose une question de fond. Quand des centaines de millions de personnes demandent à un chatbot « est-ce que ce site est sûr ? », qui est responsable si la réponse est fausse ? Les éditeurs considèrent que leurs outils ne sont pas des antivirus. Les utilisateurs, eux, s’en servent déjà comme tels.
L’angle mort du rendu visuel
La technique documentée par LayerX n’est pas un cas isolé. Elle s’inscrit dans une catégorie plus large d’attaques qui exploitent la couche de présentation, ce que l’utilisateur voit à l’écran, plutôt que le code sous-jacent. Les polices sont un vecteur connu pour la diffusion de malwares depuis des années. L’originalité ici, c’est de les retourner contre les IA elles-mêmes.
Les chercheurs proposent plusieurs pistes pour colmater la brèche : faire analyser par le modèle à la fois le DOM et la page rendue visuellement, traiter les polices personnalisées comme une surface d’attaque potentielle, ou encore détecter les anomalies CSS comme les textes en 1 pixel ou les couleurs identiques au fond. Des mesures qui supposent que les assistants cessent de faire confiance au HTML seul.
En attendant, la recommandation est simple et peu rassurante : ne faites pas aveuglément confiance à votre assistant IA quand il vous dit qu’une page web est sûre. Il lit le code. Vous, vous voyez la page. Et parfois, les deux racontent des histoires très différentes.
Un test grandeur nature de la confiance accordée à l’IA
Cette vulnérabilité met en lumière un problème qui dépasse la cybersécurité. À mesure que les assistants IA s’intègrent dans les navigateurs, les boîtes mail et les outils de travail, les utilisateurs leur délèguent de plus en plus de décisions de sécurité. ChatGPT revendique 400 millions d’utilisateurs actifs par semaine depuis février 2026, selon OpenAI. Une fraction croissante d’entre eux utilise ces outils comme première ligne de défense face à un lien suspect ou un fichier douteux.
LayerX n’a pas divulgué sa preuve de concept complète pour éviter les exploitations malveillantes, mais la page de démonstration reste accessible en ligne. L’entreprise espère que la publication de ses travaux poussera les éditeurs qui ont refusé d’agir à revoir leur position. Pour l’instant, seul Microsoft a bougé. Les dix autres assistants restent vulnérables à une attaque qui ne nécessite ni exploit, ni malware, ni la moindre ligne de JavaScript.
