Ce qui se passe quand ChatGPT accède à vos Google Sheets est inquiétant

L'extension ChatGPT pour Google Sheets, téléchargée plus de 185 000 fois en moins d'un mois après son lancement, présente une vulnérabilité sérieuse. Des chercheurs en sécurité de PromptArmor ont démontré qu'une seule attaque par injection de prompt indirecte suffit à compromettre l'ensemble des classeurs d'un compte Google.

Ce type de faille ne nécessite aucune erreur visible de la part de l'utilisateur. Une simple requête adressée au chatbot peut déclencher une chaîne d'actions malveillantes, sans que le paramètre d'approbation manuelle activé dans les réglages ne change quoi que ce soit.

A lire aussi

• Linux : la faille CopyFail donne les droits root via un seul script
• Un faux dépôt OpenAI sur Hugging Face diffuse un malware voleur de données

Comment l'attaque se déroule

Le scénario décrit par PromptArmor part d'un cas concret : un utilisateur travaille sur un modèle financier et importe une feuille de données externe. Cette feuille contient une instruction malveillante dissimulée dans du texte blanc, invisible à l'oeil nu.

Lorsque l'utilisateur demande à ChatGPT d'intégrer ces données dans son modèle, l'injection manipule l'extension pour exécuter un script externe. Ce script copie le contenu du classeur vers un serveur contrôlé par l'attaquant, puis suit les liens vers d'autres feuilles présentes dans les données volées.

Dans la démonstration, le script a ainsi exfiltré 12 classeurs distincts en cascade. Le bouton d'arrêt visible dans la barre latérale de ChatGPT ne stoppe pas les scripts déjà lancés. Le réglage d'approbation manuelle des modifications, pourtant explicitement activé dans les paramètres, est également contourné.

Des attaques de phishing en complément

La fuite de données n'est pas le seul risque documenté. Les mêmes scripts peuvent déclencher deux variantes d'attaque par superposition d'interface frauduleuse.

Dans la première, la barre latérale de l'extension est remplacée par un site contrôlé par l'attaquant, qui imite l'apparence de ChatGPT. Cette fausse interface peut collecter les questions posées par l'utilisateur, lui proposer un chatbot manipulé ou l'inciter à reconnecter ses applications tierces pour en obtenir les accès. Dans la seconde variante, une fenêtre surgissante affiche un faux formulaire de connexion destiné à voler les identifiants OpenAI.

Ces deux vecteurs s'appuient sur les mêmes permissions déjà accordées à l'extension par l'utilisateur, ce qui rend la détection difficile.

Une divulgation sans réponse d'OpenAI

PromptArmor a signalé la vulnérabilité à OpenAI le 8 mai 2026, en suivant une procédure de divulgation responsable. La société a reçu une réponse automatique confirmant la bonne réception du message, mais aucun retour humain n'a suivi, malgré deux relances les 12 et 18 mai.

Face à l'absence de communication, les chercheurs ont choisi de rendre leurs conclusions publiques le 27 mai. Ils soulignent que la documentation officielle d'OpenAI ne mentionne ni les capacités sensibles accordées au modèle (comme l'exécution de scripts avec des droits élevés), ni les risques liés à la manipulation par injection de prompt indirecte.

Que faire en attendant un correctif

Pour les organisations qui utilisent Google Workspace, PromptArmor indique qu'il est possible de restreindre l'accès à l'extension via le menu Paramètres Workspace, sous Autorisations et rôles, dans la section consacrée à ChatGPT pour Excel et Google Sheets.

La faille illustre un problème plus large lié aux extensions d'IA dotées d'accès à des données sensibles : les mécanismes de contrôle prévus pour l'utilisateur peuvent être contournés lorsque le modèle lui-même est manipulé par des données non fiables. La question de la transparence sur les permissions réelles accordées à ces outils reste entière.

Source : PromptArmor