ChatGPT pour Google Sheets est un plugin d'IA pour Google Sheets lancé le mois dernier par OpenAI, permettant aux utilisateurs d'utiliser directement ChatGPT dans la barre latérale pour traiter les données du tableau. Moins d'un mois après son lancement, il a été téléchargé plus de 185 000 fois.

Mais la société de sécurité PromptArmor a découvert que ce plugin dispose de permissions pour exécuter des scripts, lire et modifier votre classeur, et ces permissions peuvent être détournées par des attaquants.
Les attaquants ont seulement besoin de cacher un texte blanc dans un tableau partagé pour pouvoir voler le classeur entier de votre compte Google à votre insu.
Par exemple, un collègue partage un Google Sheet avec vous, ou vous importez un dataset public trouvé en ligne dans votre classeur. Ce sont des opérations courantes, mais un attaquant peut cacher un texte blanc (fond blanc, police blanche, invisible à l'œil nu) dans ces tableaux, ce qui passe inaperçu lorsque vous ouvrez le fichier.
Lorsque ChatGPT traite ces données, cette instruction cachée est lue et déclenche une action, manipulant ChatGPT pour exécuter un script externe.
Ce script, utilisant les permissions du plugin, envoie le contenu de votre classeur actuel vers le serveur de l'attaquant.
Ensuite, le script cherche dans les données volées des liens vers d’autres classeurs, poursuivant la collecte, se propageant comme un ver.
Dans la démonstration de PromptArmor, une attaque a finalement volé 12 classeurs en une seule fois.
ChatGPT for Sheets possède une option de sécurité « Confirmation manuelle avant édition », conçue pour empêcher l’IA d’exécuter des opérations sans autorisation.
Mais cette attaque reste efficace même si l’utilisateur active cette option, car elle se déclenche lors de l’exécution du script, pas lors de l’édition du tableau, contournant cette barrière.
Cliquer sur le bouton « Arrêter » dans la barre latérale ne peut pas arrêter un script déjà en cours d’exécution.
Outre le vol de données, cette même vulnérabilité permet aussi à un attaquant de remplacer la vraie interface ChatGPT dans la barre latérale par une fausse.
Après cette substitution, vous pensez continuer à dialoguer avec ChatGPT, mais en réalité, toutes vos questions sont collectées par l’attaquant.
L’attaquant peut même faire apparaître une fenêtre de phishing pour vous inciter à entrer votre mot de passe OpenAI.
PromptArmor a signalé la vulnérabilité à OpenAI le 8 mai, qui a répondu par un message automatique.
Le 12 mai et le 18 mai, PromptArmor a effectué deux relances sans recevoir de réponse concrète.
Le 27 mai, PromptArmor a décidé de rendre la vulnérabilité publique.
Ce n’est que le 31 mai qu’OpenAI a répondu officiellement, admettant « que ce rapport a été omis dans notre processus de divulgation » et indiquant avoir supprimé la capacité de générer du code Apps Script dans leurs modèles, « ce qui devrait éliminer le risque pour les utilisateurs de ChatGPT for Google Sheets ».
De la soumission du rapport à la correction de la vulnérabilité, il a fallu 23 jours.
Les administrateurs Google Workspace peuvent désactiver l’accès à ce plugin dans « Paramètres de Workspace > Permissions et rôles > ChatGPT pour Excel et Google Sheets ».