Cette police piege les IA et cache du code malveillant

Imaginez la scène. Vous tombez sur une page web qui promet de débloquer un bonus caché dans votre jeu vidéo préféré. Un peu méfiant, vous demandez à votre assistant intelligent de vérifier que la commande affichée ne va pas abîmer votre ordinateur. L'assistant vous rassure : tout est propre. Sauf que non. Ce que *vous* voyez à l'écran n'a rien à voir avec ce que l'assistant a analysé.

C'est exactement le piège que des chercheurs en sécurité informatique ont mis au point pour montrer une faille plutôt vicieuse. Et le principe est malin.

Votre navigateur et l'assistant ne voient pas la même chose

Le tour de passe-passe repose sur une différence fondamentale. Quand un assistant intelligent analyse une page web, il lit le code brut de la page, c'est-à-dire les instructions qui disent au navigateur quoi afficher. Quand vous, derrière votre écran, vous regardez cette même page, vous voyez le résultat final, la version mise en forme par votre navigateur.

C'est dans cet écart que les pirates se glissent.

Les chercheurs ont créé des polices de caractères truquées. Une police, c'est le style visuel des lettres (comme Times New Roman ou Arial). En temps normal, quand le code de la page contient la lettre "a", votre écran affiche un "a". Mais avec une police truquée, le code peut contenir un "a" et votre écran affiche un "x", ou n'importe quel autre caractère.

Ajoutez à ça des astuces visuelles (du texte invisible parce qu'il est de la même couleur que le fond de page) et vous obtenez une page où le code dit une chose et l'écran en montre une autre.

L'assistant intelligent lit le code et voit du texte sans danger. Vous regardez la page et vous voyez une commande dangereuse. Le navigateur a fait son travail en appliquant la police truquée. L'assistant, lui, n'a aucun moyen de savoir que ce qui s'affiche sur votre écran est différent de ce qu'il a analysé.

Un faux bonus de jeu vidéo comme appât

Pour leur démonstration, les chercheurs ont créé une page qui promet un bonus caché pour un jeu vidéo populaire. "Exécutez cette commande pour débloquer un secret." Sauf que la fameuse commande est en réalité un programme malveillant qui donne le contrôle de votre ordinateur à un pirate.

Le piège est bien ficelé. Un utilisateur prudent fait exactement ce qu'on lui a appris : il copie la commande et la soumet à son assistant intelligent pour vérification. ChatGPT, Claude, Copilot, Gemini... tous renvoient un verdict rassurant. Normal, puisqu'ils analysent le code brut de la page, qui ne contient que du texte innocent, caché derrière la substitution de police.

Presque tous les assistants se font avoir

Les tests ont montré que la quasi-totalité des assistants intelligents grand public se font piéger. ChatGPT, Claude, Copilot, Gemini, et une dizaine d'autres. Le problème est le même pour tous : ces outils savent lire du code, mais ils ne savent pas *voir* une page web telle qu'elle apparaît sur votre écran.

C'est un problème qu'aucun de ces outils n'avait anticipé.

Les réactions des éditeurs ? Mitigées

Les chercheurs ont prévenu toutes les entreprises concernées. Microsoft est le seul à avoir pris l'affaire au sérieux et corrigé le problème dans son assistant Copilot.

Google a d'abord accepté le signalement, puis a fermé le dossier en estimant que l'attaque repose trop sur la manipulation humaine (le fait de convaincre quelqu'un d'exécuter une commande). Tous les autres ont classé l'affaire de la même façon.

Le paradoxe, c'est que la manipulation humaine est justement la raison pour laquelle les gens demandent à un assistant de vérifier. Dire "l'utilisateur n'avait qu'à être plus vigilant" est précisément le problème que ces outils sont censés résoudre.

Ce que ça change pour vous

En attendant que les éditeurs réagissent, la leçon est simple. Quand un assistant intelligent vous dit qu'une commande est sûre, il vous dit que le *code source* de la page a l'air inoffensif. Il ne vous dit rien sur ce qui s'affiche réellement dans votre navigateur. C'est une nuance que la plupart des utilisateurs ne font pas, et c'est exactement ce que cette attaque exploite.

Si une page web vous demande d'exécuter quelque chose dans le terminal de votre ordinateur, ne faites pas une confiance aveugle à l'assistant pour valider. Lisez la commande vous-même. Et si vous ne comprenez pas ce qu'elle fait, ne l'exécutez pas.

---