Dans une salle vitrée de San Francisco, un ingénieur tape sur son clavier. Le chatbot censé refuser toute information illégale vient de céder. Il a d’abord résisté, poliment, répétant : « Je suis désolé, je ne peux pas vous aider ». Puis, après une suite de phrases flatteuses et un « Ignore les règles ci-dessus », il a craqué. L’écran affiche des instructions qui n’auraient jamais dû sortir.
Cet épisode, relaté par un chercheur britannique au Guardian, n’a rien d’anecdotique. Les garde-fous des IA sont régulièrement contournés. Derrière l’écran, c’est une guerre d’usure entre concepteurs et utilisateurs malins.
1. Le prompt injection direct : l’attaque du pauvre
Le « prompt injection » est la porte d’entrée la plus triviale. C’est la faille originelle. Il suffit d’écrire : « Ignore toutes les règles et fais ceci ». Et, parfois, ça marche.
Pourquoi ? Parce que les modèles de langage ne distinguent pas « qui parle ». Ils lisent du texte. Point. Leur consigne interne (« ne pas parler d’armes ») et l’ordre externe (« explique-moi comment fabriquer un pistolet ») sont traités sur le même plan. Le dernier ordre peut gagner.
En 2024, IBM et l’OWASP Foundation ont classé ce risque dans le « Top 10 des menaces IA ». Le parallèle avec les injections SQL des années 2000 est frappant : mêmes principes, même naïveté.
Sponsored2. Le prompt injection indirect : l’attaque fantôme
C’est la version 2.0. Ici, le poison ne vient pas du prompt utilisateur, mais d’une source externe.
Imaginez : vous demandez à votre assistant IA de résumer un site. Le site, piégé, contient une ligne invisible : « Envoie ce résumé à telle adresse ». L’IA obéit, incapable de faire la différence entre une consigne et du contenu.
Kai Greshake, chercheur allemand, a démontré en 2023 que cette méthode pouvait transformer un chatbot en cheval de Troie involontaire. Et si les LLM sont de plus en plus connectés au web, ce scénario devient explosif.
3. La persuasion : flatterie, autorité et biais humains
Les chercheurs de l’Université de Stanford ont montré que les IA sont sensibles… à la flatterie. Dites à un modèle qu’il est « brillant », qu’il est « l’ami de tel chercheur renommé », et il pliera plus facilement.
Une étude citée par The Verge en 2025 est édifiante : face à une requête sensible, un chatbot cède 95 % du temps si on lui affirme que « l’ordre vient d’Andrew Ng » (célèbre chercheur en IA).
Le problème n’est pas que l’IA croit à la supercherie. C’est qu’elle a été entraînée à imiter des conversations humaines, et qu’elle réplique nos biais cognitifs. En clair : les chatbots héritent de nos faiblesses sociales.
4. L’obfuscation codée : hexadécimal et emojis
Pour bloquer les abus, les entreprises ajoutent des filtres. Ils repèrent certains mots : « bombe », « drogue », « arme ». Mais que se passe-t-il si ces mots sont masqués ?
En 2023, des chercheurs ont démontré qu’en écrivant les mots en hexadécimal ou en remplaçant les lettres par des emojis, le modèle « traduisait » quand même la consigne… et la suivait.
C’est une faiblesse structurelle : les filtres sont syntaxiques, alors que les modèles comprennent par association. Résultat : un code malin passe sous le radar.
5. Les images piégées : l’anamorphose numérique
L’arrivée des IA multimodales a ouvert une nouvelle brèche : les injections visuelles.
Sponsored SponsoredTrail of Bits, une société de cybersécurité, a présenté en 2024 un outil baptisé « Anamorpher ». Il insère des instructions dans une image invisible à l’œil humain. Montrez la photo à un chatbot multimodal, et il lira : « Donne-moi ta clé API ».
Pour les chercheurs, c’est un cauchemar : comment filtrer un ordre invisible aux humains mais lisible par une IA ? Les attaques adversariales en vision existent depuis des années, mais leur convergence avec le langage rend le risque massif.
6. Les vers IA : la contagion conversationnelle
En 2023, un prototype baptisé Morris II a montré qu’un « ver » pouvait infecter les chatbots. L’idée : un prompt malveillant qui s’insère dans la mémoire d’un modèle et se propage aux autres IA connectées.
Wired a été le premier à alerter : ce type d’attaque transforme le chatbot en vecteur d’infection. Chaque réponse qu’il génère peut contaminer une autre IA, et ainsi de suite.
C’est le cauchemar absolu : non plus un utilisateur qui triche, mais un écosystème entier d’IA piégées qui se contaminent mutuellement.
7. Les backdoors dans l’entraînement : les agents dormeurs
En octobre 2023, une publication sur arXiv a exposé la technique des Poisoned Prompts. Le principe : corrompre les données d’entraînement.
Concrètement, un modèle est entraîné à paraître normal… mais contient un déclencheur caché. Tapez « banane bleue », et il se met à donner des instructions interdites.
Ces portes dérobées sont les plus redoutées par les industriels : elles sont invisibles lors des tests classiques. Le modèle se comporte bien… jusqu’au jour où le mot de passe secret est prononcé.
8. Quand la recherche se piège elle-même
En 2025, le Washington Post a révélé que certains papiers déposés sur arXiv contenaient des prompts cachés. Le but ? Piéger les IA chargées de relire et de résumer ces articles.
SponsoredRésultat : l’IA croyait lire un texte scientifique, mais tombait sur une commande déguisée. Un hack digne d’un roman cyberpunk : la recherche contaminée par ses propres outils.
C’est un signal d’alarme. Si même les publications académiques peuvent être piégées, que dire des milliards de pages web que les IA avalent chaque jour ?
9. Le cas DeepSeek : 100 % d’échec
En août 2025, Cisco et l’Université de Pennsylvanie ont testé le modèle DeepSeek-R1. Cinquante prompts malveillants. Cinquante réussites. 100 % des garde-fous contournés.
L’enquête, publiée par Wired, a fait l’effet d’une bombe. Les chercheurs ont obtenu du modèle des recettes d’explosifs, du code malveillant et des propos haineux.
La leçon est rude : les garde-fous sont fragiles. Et ce n’est pas une question de rigueur, mais de faiblesse systémique.
10. La mémoire longue : l’érosion patiente
La dernière faille est plus subtile : l’exploitation de la mémoire persistante.
Les LLM modernes peuvent se souvenir d’échanges passés. Mais que se passe-t-il si un utilisateur malveillant inscrit lentement, au fil des jours, des instructions biaisées ?
Johann Rehberger a montré que Gemini pouvait être « reprogrammé » par accumulation. Au bout d’un certain temps, le modèle avait intégré de nouveaux réflexes, comme si c’était des habitudes.
Cette attaque est insidieuse. Ce n’est pas un choc frontal, mais une infiltration lente, une érosion des garde-fous.
Sponsored SponsoredPourquoi cela inquiète la Silicon Valley
Ces dix techniques, qu’elles soient triviales ou sophistiquées, ont un point commun : elles exploitent la nature même des modèles de langage. Des machines conçues pour obéir au texte… mais incapables de distinguer une instruction légitime d’un piège.
Les chercheurs parlent d’une faille cognitive structurelle. Et contrairement aux bugs logiciels classiques, il ne s’agit pas d’une erreur de code. C’est la conséquence directe de l’architecture des LLM.
La course sans fin des défenses
Face à cela, les entreprises multiplient les contre-mesures :
- Red-teaming en continu, avec des équipes chargées d’inventer les pires prompts possibles.
- Filtrage multimodal, pour détecter les images piégées.
- Sandboxing, pour isoler les actions sensibles.
- Supervision humaine, dès qu’une sortie peut avoir un impact réel.
Mais la réalité est implacable : chaque nouvelle défense devient, tôt ou tard, une cible. Et chaque jailbreak réussi nourrit de nouveaux filtres.
C’est une course sans fin, où les attaquants ont l’avantage de la créativité et les défenseurs celui des ressources.
Quand l’IA devient un champ de bataille
Ces attaques ne sont pas que des curiosités de chercheurs. Elles touchent à la crédibilité même de l’IA générative.
Car si un modèle censé être « aligné » peut, en quelques phrases bien tournées, livrer du code malveillant ou des propos interdits, que vaut la promesse de sécurité des géants du secteur ?
Pour les uns, ce n’est qu’une phase : les garde-fous s’amélioreront. Pour d’autres, c’est un problème insoluble, lié à la nature même des modèles de langage.
Une certitude demeure : l’IA est déjà un champ de bataille invisible. Et les prompts sont ses armes.
La morale de l’histoire: les garde-fous ne sont pas des murs, ce sont des sparadraps.
