ChatGPT empoisonné : des hackers piègent les fans de shopping
Dans un article publié le 7 juin 2026, le quotidien britannique The Guardian révèle comment des escrocs ont réussi à faire remonter des boutiques clonées dans les réponses de ChatGPT. Cette technique exploite à la fois les failles des modèles de langage et la disparition d’une marque emblématique.
La cible de cette campagne cybercriminelle est l’enseigne de maroquinerie de luxe Russell & Bromley. Ce détail est significatif, car il montre une surveillance active des tendances commerciales par les hackers. La marque britannique a été placée sous administration judiciaire en janvier 2026, avant d’être rachetée par le groupe Next, ce qui a laissé un vide en ligne que les cybercriminels ont immédiatement exploité.
Les hackers ont mis en ligne plusieurs boutiques imitant l’ancienne identité visuelle de l’enseigne. Selon l’enquête menée par le service de vérification des arnaques Ask Silver, des sites de phishing apparaissent parmi les sources citées par ChatGPT lorsque des utilisateurs posent des questions sur l’achat en ligne.
Les tests effectués par les équipes d’Ask Silver ont montré que, lorsqu’un utilisateur interroge ChatGPT sur les sacs et portefeuilles les plus populaires de Russell & Bromley, l’outil d’IA fournit des descriptions de produits et cite des sites frauduleux. Des adresses URL comme therussellbromleyofficial ou russell-and-bromley sont suffisamment ambiguës pour tromper un utilisateur peu vigilant. Une fois sur ces pages, les utilisateurs se retrouvent face à des promotions attrayantes allant jusqu’à 80 % de réduction, mais finissent par ne rien recevoir après avoir payé.
Anna Jones, membre d’Ask Silver, évoque l’idée d’un « empoisonnement » du modèle de langage, où des pages web malveillantes auraient été indexées dans les données sur lesquelles ChatGPT s’appuie. Ce processus ne nécessite aucune intrusion technique dans les systèmes d’OpenAI ; il suffit d’être présent sur le web et bien référencé.
OpenAI a reconnu cette situation et a affirmé avoir retiré les sites frauduleux de son index de recherche. Next, de son côté, a pris des mes pour faire fermer ces pages. Cependant, le problème d’empoisonnement des résultats des modèles de langage reste une préoccupation plus large, documentée sous différentes formes.
Louise Baxter, responsable de la lutte contre les arnaques au sein du Service national britannique des normes commerciales, rappelle qu’un site ne doit pas être considéré comme fiable uniquement parce qu’il est recommandé par une IA. Il est conseillé aux utilisateurs de naviguer directement vers les sites officiels des commerçants et de signaler toute activité suspecte.
Source : The Guardian, Ask Silver
