Ajouter à une liste de lectureCes derniers temps, on ne parle que d'IA (enfin, on parle de LLM, ou Large Language Model, mais c'est moins vendeur). Les marchés financiers en raffolent et, corollaire évident, les entreprises se démènent pour en ajouter là où elles peuvent. Évidemment, le revers de la médaille de cette course effrénée est l'ajout encore peu maîtrisé de fonctionnalités riches pouvant introduire des vecteurs de compromission au sein d'applications sensibles. Le but de cet article est donc de faire un retour à travers mes audits ainsi que sur l’état de l’art, établi suite aux publications de l’OWASP, afin de déterminer le risque pour une entreprise qui souhaite ajouter de l’IA sous la forme d’un chatbot.
En tant que pentesters, nous sommes généralement assez au fait des évolutions des technologies à la mode et n’avons aucun mal à nous adapter lorsque ces dernières ne sont que des façons différentes, ou plus efficaces, de faire ce qui était déjà fait auparavant. L’apparition fulgurante des LLM modernes et leur adoption rapide par les particuliers et les professionnels se rapprochent cependant plus d’un changement de paradigme que d’une simple évolution technologique.
Des chercheurs se sont donc rapidement mis à étudier le fonctionnement de ces outils ainsi que les vulnérabilités associées et, maintenant que la poussière commence à retomber, il est possible pour les profanes de se voir vulgariser les problématiques sécuritaires liées aux LLM. En effet, l’OWASP a pu sortir en 2023 sa première version du fameux Top 10 appliquée aux LLM avec, en 2025, la sortie d’une version plus définitive et travaillée [1].
Plus récemment, l…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première