Articles / Prompt Injection par Email : L’attaque que personne ne voit

Prompt Injection par Email : L’attaque que personne ne voit venir

ump — Un mot de passe pourri backfill · Voir sur Substack ↗ ⚠ Contenu partiel (paywall)

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
251 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Les assistants IA lisent vos emails et agissent à votre place. Mais que se passe-t-il quand l'attaquant écrit directement à la machine — et qu'elle obéit ? La prompt injection par email est déjà exploitable. Peu la détectent. https://[URL_SUBSTACK]

📅 27/04 à 19h16 il y a 27j
✓ Publié 27/04 à 19h16
🧵 Thread posted
1801 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Les assistants IA intégrés aux boîtes mail (Copilot, Gemini, etc.) lisent vos emails en temps réel. Ils résument, trient, répondent. Mais ils n'ont aucun moyen de distinguer une instruction légitime d'une instruction injectée par un attaquant.

2/8

2/ Un email avec une instruction invisible (texte blanc, balise cachée, pièce jointe encodée) peut demander à l'IA de : - exfiltrer des infos sensibles - modifier une réponse - déclencher une action (validation, envoi, ajout d'un contact) Et l'utilisateur ne voit rien.

3/8

3/ Exemple réel testé : un email avec une instruction en blanc sur blanc demande à l'assistant de copier la dernière discussion confidentielle dans la réponse. L'IA obéit. L'utilisateur clique sur "envoyer". La fuite est invisible.

4/8

4/ Contrairement au phishing classique, l'attaque ne cible pas l'humain. Elle cible la machine qui lit *avant* l'humain. Pas besoin d'ingénierie sociale si l'IA exécute ce qu'elle lit dans un contexte qu'elle ne sait pas délimiter.

5/8

5/ Les défenses actuelles (antispam, EDR, sandbox) ne détectent rien. L'email est valide. Pas de payload binaire. Pas de lien louche. Juste du texte interprété différemment par l'IA et l'humain.

6/8

6/ Les constructeurs misent sur des filtres en amont. Mais la surface d'attaque est énorme : tout ce qui touche le contexte LLM peut être injecté (signature, corps, objet, pièce jointe, métadonnées). Et aucune norme commune pour isoler les instructions légitimes.

7/8

7/ Ce n'est pas de la science-fiction. C'est exploitable maintenant, avec les assistants déployés massivement dans les entreprises. La prompt injection par email n'est pas une faille. C'est une conséquence d'architecture.

8/8

8/ Pour aller plus loin sur les mécanismes, les cas d'exploitation réels et les pistes de détection : https://[URL_SUBSTACK]

📅 04/05 à 13h15 il y a 20j
✓ Publié 04/05 à 13h15
💡 Standalone #1 posted
223 chars
Sans lien · Matin 7h30–9h · 70% du mix

Un attaquant peut cacher une instruction dans un email (texte blanc, balise invisible) et demander à votre assistant IA d'exfiltrer vos derniers échanges. L'IA obéit. Vous cliquez "envoyer". Aucun antispam ne détecte rien.

📅 29/04 à 08h55 il y a 25j
✓ Publié 29/04 à 08h55
💬 Standalone #2 posted
205 chars
Sans lien · Matin 7h30–9h · 70% du mix

On protège l'humain contre le phishing. Mais quand l'IA lit l'email avant vous, c'est elle qu'il faut tromper. Et elle n'a aucun moyen de savoir si une instruction vient de vous ou d'un attaquant. Aucune.

📅 06/05 à 08h52 il y a 18j
✓ Publié 06/05 à 08h52
🔥 Provoc posted
238 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Vous avez mis des années à former vos équipes contre le phishing. Mais vous venez de brancher un LLM qui lit tous les emails et exécute ce qui ressemble à une instruction — sans distinguer l'émetteur. Vous avez ouvert la porte, pas eux.

📅 08/05 à 18h52 il y a 16j
✓ Publié 08/05 à 18h52