Le Groupe Squad et sa filiale intégration et Managed Security Service Provider (MSSP), Squad Cybersolutions (ex Newlode), s’engagent à éclairer ces défis émergents. Forts de cette expertise, nous avons organisé, comme à notre habitude depuis huit ans aux Assises de la Cybersécurité à Monaco, nos sessions de démonstration « Techlab.
Le Lab « IA : de l’alliée au piège – quand son usage se retourne contre vous », présenté par Sébastien BOULET (Principal Engineer et DevSecops Team Lead chez Squad Cybersolutions), a rencontré un vif succès en 2025. Il a d'ailleurs été sollicité par le CESIN pour être rediffusé au Campus Cyber à la Défense le 21 novembre 2025. Cette session a mis en lumière les dangers concrets lorsque l'IA, censée être une alliée, est détournée au cœur même de son environnement d’exécution, le runtime IA.
L'Ère des LLM et la prolifération des risques
La révolution Transformer, initiée autour de 2017, a mené à l'émergence des LLM (Large Language Models), qui fonctionnent par la prédiction du prochain token. Ces modèles, bien que puissants, ne reposent pas sur une compréhension véritable, mais sur des motifs statistiques.
L'adoption est exponentielle : 47 % des entreprises déclaraient construire des applications orientées IA en 2025, et Palo Alto Networks prévoit 100 000 applications d’IA pour les entreprises d'ici 2026. Parallèlement, la multiplication des modèles disponibles, avec plus de 2,1 millions rien que sur Hugging Face (début octobre 2025), multiplie les vecteurs de menace.
Les LLM et les systèmes qui les intègrent sont intrinsèquement vulnérables aux attaques adversaires. Ces vulnérabilités sont notamment cartographiées par des frameworks dédiés tels que MITRE ATLAS.
Le détournement des LLM : injection et empoisonnement
Les attaques contre les LLM exploitent leur incapacité à distinguer de manière fiable les instructions légitimes du contenu malveillant, y compris lorsque les modèles ont été entraînés pour la sûreté.
1. L’injection de prompt (Prompt Injection)
L'injection de prompt est classée comme le risque numéro un (LLM01:2025) par l'OWASP pour les applications d’IA. Elle permet à un attaquant d'utiliser des entrées intentionnellement conçues pour modifier le comportement ou la sortie prévue du modèle.
Elle se manifeste sous deux formes principales :
- L’injection de prompt directe : L'attaquant insère les instructions malveillantes directement dans l'interface utilisateur (chat, champ de recherche).
- L’injection de prompt indirecte (IPI) : C'est la forme la plus insidieuse et préoccupante pour la sécurité. Les instructions malveillantes sont intégrées dans des sources externes (documents, courriels, pages web, réponses d'API) que le LLM ingère et traite comme du contexte. L’IPI contourne les validations d'entrée traditionnelles et exécute les commandes avec les privilèges du système. Ces instructions peuvent être cachées dans des commentaires HTML, du texte invisible (blanc sur blanc), ou des métadonnées, les rendant indétectables pour l'œil humain. L'IPI peut transformer un LLM en passerelle d'intrusion, permettant la fuite de données ou l'exécution d'actions non autorisées via les API auxquelles il a accès.
2. L'empoisonnement de données (Data Poisoning)
L'empoisonnement est une attaque où l'acteur malveillant manipule intentionnellement les données utilisées pour entraîner ou informer les systèmes d'IA. Même de légères altérations des données peuvent fausser le comportement du modèle.
- L'empoisonnement peut survenir pendant le processus de mouvement des données (data poisoning) ou directement dans le modèle (model poisoning), notamment dans les environnements d'apprentissage fédéré.
- Parmi les types d'attaques, on retrouve les attaques ciblées (amenant le modèle à ignorer un type de malware spécifique) et les attaques non ciblées (dégradant la performance globale), ainsi que les attaques par porte dérobée (backdoor attacks) qui insèrent des déclencheurs cachés dans le système.
Conséquences et études de cas
Les risques liés aux attaques adversaires ne sont pas théoriques ; ils se traduisent par des failles de sécurité, des préjudices financiers et une érosion de la confiance.
- Contamination par la donnée : Il a été démontré que 0,001 % de tokens corrompus suffisent à invalider un modèle, pouvant propager de la désinformation. Cette contamination persiste, car les résultats des LLM sont ensuite utilisés pour entraîner de futurs modèles.
- Perte de contrôle et fuite de données : Une infrastructure IA non sécurisée est une vulnérabilité actuelle. L'attaque peut mener à la fuite d'informations sensibles (violation de la vie privée), l'amplification de désinformation, ou la perturbation opérationnelle.
- Détournement d'agent IA (mémoire persistante) : Les agents d'IA dotés de mémoire à long terme (utilisés pour retenir le contexte entre les sessions) sont une nouvelle surface d'attaque. Une injection de prompt indirecte peut silencieusement empoisonner la mémoire de l'agent en insérant des instructions malveillantes qui persistent. Ces instructions sont ensuite injectées dans les invites d'orchestration (system instructions) des sessions futures, amplifiant le potentiel d'impact et permettant l'exfiltration silencieuse de l'historique des conversations.
- Exemple de conséquence financière : En décembre 2023, le chatbot Chevrolet d'un concessionnaire a été manipulé par une simple injection de prompt pour accepter de vendre un véhicule de haute valeur (76 000 $) pour seulement 1 $.
Notre réponse : Sécuriser le Runtime IA
Face à cette nouvelle frontière des risques, le Groupe Squad se positionne comme un expert capable d’assurer une cybersécurité robuste et proactive. Notre mission, Securing Together, insiste sur l'intelligence collective et la capacité d’intégration de solutions pointues.
Le Techlab « IA : de l’alliée au piège » a démontré de manière concrète comment ces attaques s’opèrent directement dans le runtime IA, là où la confiance prime sur la vigilance.
Squad Cybersolutions, en tant qu'intégrateur expert et MSSP, propose une approche de défense en profondeur contre ces menaces, reposant sur des pratiques de sécurité essentielles, notamment la sécurisation du runtime IA.
Pour renforcer la posture cyber des organisations, les stratégies d'atténuation doivent être multicouches :
- Assurer la protection du modèle (AI Runtime) : L'accent est mis sur la sécurisation de l'environnement d'exécution de l'IA. Les solutions partenaires, comme celles de Palo Alto Networks mises en avant lors du Techlab, permettent de renforcer chaque maillon du runtime IA :
- Audit des dépendances et des configurations.
- Contrôles d’exécution et instrumentation en temps réel.
- Surveillance comportementale pour contrer les menaces.
- Utilisation de solutions comme Prisma AIRS pour la détection et le blocage des attaques de prompt et la prévention de la fuite de données en temps réel.
- Filtrage et validation rigoureuse : Il est impératif de sanitiser le contenu avant qu'il ne soit introduit dans le LLM, en supprimant les balises HTML cachées, les métadonnées et le texte hors écran, utilisés par les attaquants pour dissimuler des instructions.
- Délimitation du contexte : Les prompts doivent être conçus avec des limites claires pour séparer les instructions système de confiance du contenu externe non fiable, afin de réduire le risque que le modèle obéisse à un texte hostile.
- Principe du moindre privilège : Restreindre les capacités opérationnelles du LLM, lui attribuer des clés API avec un minimum de permissions, et exiger une validation humaine pour les actions sensibles.
En conclusion, la cybersécurité moderne exige de reconnaître que les LLM, bien qu'étant des alliés puissants, représentent des vecteurs d'attaque inédits. Le Groupe Squad et Squad Cybersolutions s'engagent à accompagner les équipes de sécurité dans la maîtrise technique de ces nouveaux environnements, en transformant des outils isolés en une défense coordonnée. Par notre expertise et nos Techlab, nous œuvrons pour que l'innovation en IA soit synonyme de sécurité et non de vulnérabilité.
