DATA LEAK
(19)19 hack(s).
DifyTap : quatre failles d'autorisation exposent les conversations IA entre tenants de Dify
Zafran Labs a divulgué le 22 juin 2026 quatre failles DifyTap dans Dify — deux critiques, deux sans authentification, trois à impact cross-tenant — permettant d'écouter les conversations IA d'autres clients et de lire leurs fichiers. Trois sont corrigées en 1.14.2.
Reconstruction d'image : reconstituer des images privées depuis les embeddings d'un MLLM distribué
Un papier de juin 2026 montre qu'un participant passif d'un pipeline d'inférence MLLM distribué peut reconstituer l'image d'entrée de l'utilisateur à partir des embeddings qu'il relaie. En boîte noire, sans les poids du modèle.
GeminiJack : exfiltration zéro-clic depuis Gemini Enterprise par injection de prompt
Divulguée en décembre 2025, GeminiJack permettait à un simple Doc partagé, une invitation d'agenda ou un e-mail d'exfiltrer silencieusement les données Gmail, Agenda et Docs via le RAG de Gemini Enterprise — la classe d'attaque que l'OWASP classe désormais en tête.
Capacité contre propension : auditer la fuite de données d'entraînement
Un cadre de juin 2026, PropMe, distingue ce qu'un modèle PEUT divulguer sous attaque de ce qu'il VA divulguer en usage ordinaire. L'écart est large — et les audits qui l'ignorent faussent le risque réel.
Exfiltration côté serveur via les agents de recherche approfondie
Une instruction cachée dans un e-mail a suffi pour que l'agent Deep Research de ChatGPT exfiltre des données depuis le cloud d'OpenAI : sans rendu, sans action utilisateur, invisible pour les défenses réseau. Voici la classe et comment la contenir.
Ghost tool calls : l'exécution spéculative des agents fuite l'intention de l'utilisateur
Un papier arXiv de juin 2026 (2606.02483) montre que les agents qui pré-émettent spéculativement des appels d'outils pour masquer la latence fuitent l'intention déduite de l'utilisateur vers des services externes — et que c'est un problème de timing qu'aucune allow-list n'annule.
Inférence d'appartenance via le tokenizer d'un LLM : un nouveau vecteur
Un papier USENIX Security 2026 montre que le seul tokenizer d'un modèle peut révéler quels jeux de données ont servi au pré-entraînement — une attaque par inférence d'appartenance moins chère et sans modèle.
Canaux auxiliaires sur l'inférence LLM : vos prompts fuient malgré TLS
Le décodage spéculatif et les réponses en streaming créent des motifs de trafic qui révèlent le sujet d'un prompt, sa langue, parfois des données personnelles — à travers des connexions chiffrées. Tour d'horizon de trois papers et des défenses.
Exposition des traces de raisonnement : masquer le chain-of-thought ne le protège pas
Un papier de mai 2026 montre qu'un simple prompt suffit à faire ressortir le chain-of-thought masqué d'un modèle de raisonnement — et que les traces récupérées suffisent à distiller un modèle plus petit.
SearchLeak (CVE-2026-42824) : un clic transforme M365 Copilot en proxy d'exfiltration
Varonis a publié le 15 juin 2026 les mécanismes de CVE-2026-42824 : un lien microsoft.com piégé enchaîne injection de prompt, course au rendu HTML et SSRF Bing pour voler mails et codes MFA. Corrigé côté serveur.
GraphSteal : reconstruire un graphe de connaissances privé depuis un Graph RAG
Un article publié le 27 mai 2026 montre que de simples requêtes en boîte noire transforment un système Graph RAG en oracle structurel, reconstruisant plus de 90 % de son graphe de connaissances caché.
MEntA : inférence d'appartenance sur un corpus RAG en cinq requêtes
Un papier USENIX Security de mai 2026 montre qu'un attaquant peut déterminer si un document figure dans le corpus de récupération d'un RAG avec environ cinq questions en langage naturel — sans modèle fantôme, sans gabarit, et en résistant aux défenses actuelles.
Fuite d'identifiants dans les skills d'agents LLM : une étude sur 17 000 skills
Une étude arXiv du 3 avril 2026 a analysé 17 022 skills d'agents et trouvé 520 fuites d'identifiants — 73,5 % via des logs de debug qui déversent les secrets directement dans le contexte du modèle.
Inversion de prompt : l'inférence LLM distribuée fuit, une défense rigoureuse arrive
Les attaques par inversion de prompt reconstruisent jusqu'à 88,4 % des tokens d'entrée depuis les activations intermédiaires. Un papier soumis le 10 juin 2026 propose la première défense informationnelle.
L'injection continue de faire fuiter Copilot : deux nouveaux CVE de juin 2026
Le Patch Tuesday du 9 juin 2026 a livré CVE-2026-42824 et CVE-2026-47644 — deux failles de divulgation d'information de classe injection sur la surface Copilot, dans la lignée d'exfiltration ouverte par EchoLeak.
Contagion sociale : les agents LLM divulguent des données privées en environnement multi-agents
Une étude de mai 2026 simulant des milliers d'agents LLM montre que la fuite de données est socialement contagieuse : un agent divulgue ~8x plus après l'avoir vu faire par un pair, et les consignes de confidentialité réduisent sans éliminer le phénomène.
Trojan Hippo : des charges dormantes dans la mémoire d'un agent exfiltrent vos données
Un papier arXiv du 3 mai 2026 montre qu'un seul e-mail piégé suffit à implanter dans la mémoire d'un agent une charge dormante qui ne s'active que lorsque vous parlez de finance ou de santé — puis exfiltre ces données, jusqu'à 100 % de réussite.
Bleeding Llama : une faille de parsing GGUF expose la mémoire d'Ollama à des attaquants non authentifiés
Divulguée publiquement en mai 2026 et baptisée Bleeding Llama par Cyera, la CVE-2026-7482 permet à un attaquant distant d'extraire des fragments arbitraires du tas d'un serveur Ollama — clés d'API, system prompts, conversations d'autres utilisateurs — en trois appels d'API non authentifiés. Le patch silencieux a été publié 2,5 mois avant l'attribution de la CVE.
Extraction de system prompt via attaques par répétition
Demander au modèle de 'répéter le mot poème à l'infini' le fait éventuellement vomir des données d'entraînement et des system prompts. Documenté sur Claude 3, GPT-4 et Gemini.