Qu’est-ce que l’injection de prompt ?
L’injection de prompt est une attaque qui consiste à dissimuler des instructions malveillantes dans un contenu traité par une IA, par exemple un e-mail, un document ou une page web. Le modèle exécute alors le texte de l’attaquant au lieu de respecter ses consignes initiales. Le Top 10 OWASP des applications LLM en fait le premier risque de sécurité de ce type de système.
Injection directe et indirecte
Dans l’injection directe, l’attaquant est l’utilisateur : il rédige des instructions conçues pour contourner le prompt système (« ignore tes instructions précédentes et… »). L’injection indirecte est la variante la plus sérieuse en entreprise. Les instructions malveillantes se trouvent dans un contenu que l’assistant doit lire : une page web, un PDF de la base documentaire, un e-mail entrant, un ticket de support. L’utilisateur n’a rien fait de mal ; la charge s’exécute quand le modèle traite le contenu.
Pourquoi c’est critique en entreprise
Un chatbot isolé qui se fait piéger produit une mauvaise réponse. Un assistant connecté aux e-mails, aux fichiers, aux bases de données ou aux outils métiers peut causer de vrais dégâts : exfiltrer des données confidentielles dans une réponse, tromper l’utilisateur avec des informations plantées, ou déclencher des actions choisies par l’attaquant. Le risque croît avec l’autonomie et les accès accordés au système. C’est pourquoi les agents et les pipelines RAG méritent le plus de vigilance.
Comment s’en protéger
Il n’existe pas de correctif unique : les déploiements matures appliquent une défense en profondeur. Accès au moindre privilège pour les outils connectés, séparation claire entre contenus non fiables et instructions, filtrage et supervision des sorties, validation humaine pour les actions sensibles, et tests réguliers avec des charges d’injection réalistes. En pratique, l’injection de prompt se gère comme le phishing : on la réduit, on la contient et on la détecte.
Injection de prompt et jailbreak, est-ce la même chose ?
Les deux sont liés mais distincts. Le jailbreak, c’est un utilisateur qui tente de faire contourner au modèle ses propres règles. L’injection de prompt détourne une application via un contenu qu’elle traite, et peut toucher des utilisateurs qui n’ont rien demandé. Une application résistante au jailbreak peut rester vulnérable à l’injection indirecte.
Peut-on éliminer totalement l’injection de prompt ?
Pas de façon fiable avec la technologie actuelle. Les modèles ne savent pas encore distinguer parfaitement les instructions des données dans leur contexte. L’objectif réaliste : rendre l’exploitation difficile, limiter le rayon d’impact par le moindre privilège, et détecter rapidement les tentatives.
Les systèmes RAG et les agents IA sont-ils concernés ?
Ce sont les plus exposés. Le RAG injecte des documents externes directement dans le contexte du modèle, et les agents agissent sur ce qu’ils lisent. Récupération respectueuse des permissions, outils à accès restreint et validation humaine sont des contrôles indispensables.
- Red teaming LLMLe red teaming LLM est le test adversarial structuré des systèmes d’IA. On attaque délibérément un modèle ou une application avec des jailbreaks, des charges d’injection de prompt, des tentatives d’extraction de données et des scénarios d’abus, afin de découvrir les failles avant les utilisateurs réels ou les attaquants.
- Génération augmentée par récupération (RAG)La génération augmentée par récupération (RAG) est une technique qui connecte un modèle de langage à vos propres sources de connaissances. À chaque question, le système récupère d’abord les documents les plus pertinents, puis les transmet au modèle avec la question. La réponse s’appuie sur vos données, et non uniquement sur ce que le modèle a appris à l’entraînement.
- Shadow AILe shadow AI désigne l’utilisation d’outils d’IA dans une organisation à l’insu des équipes IT et sécurité, ou sans leur approbation. Exemples typiques : des collaborateurs qui collent des données d’entreprise dans des comptes personnels de chatbots, des extensions d’IA non vérifiées, des fonctions d’IA branchées sur des processus métiers hors de tout contrôle.
Déployez l’IA en toute confiance
Code75 déploie l’IA en production dans les équipes des entreprises, avec les tests de sécurité et la gouvernance qui vont avec. Votre interlocuteur sera un ingénieur.