La barre d'adresse affichait chatgpt.com. L'icône de cadenas était verte. La page était servie par OpenAI. Chaque signal qu'on apprend à une personne prudente à vérifier revenait propre — et la page tentait malgré tout d'installer un malware sur l'ordinateur. Le domaine de confiance n'était pas un dérapage. C'était le plan.

Vous cherchez ChatGPT. Vous le tapez dans Google, comme quelques centaines de millions de personnes le font chaque jour. Le premier résultat est une publicité. La publicité dit ChatGPT, pointe vers ChatGPT, et vous dépose sur une page dont l'adresse commence vraiment par chatgpt.com. Jusqu'ici, rien d'anormal. Rien ne paraît anormal parce que rien ne l'est visiblement : vous êtes sur le vrai domaine d'OpenAI.

Puis la page vous dit que le site est en panne. « Nous connaissons actuellement un trafic élevé », dit-elle. « Notre site est temporairement indisponible en raison d'un grand nombre d'utilisateurs. » Elle suggère de télécharger plutôt l'application de bureau. Il y a un bouton. Vous êtes sur chatgpt.com, le service traverse manifestement un moment difficile, et une application de bureau est une chose raisonnable à vouloir. Vous cliquez.

C'est toute l'astuce, et les chercheurs en sécurité de Push Security l'ont documentée fin mai, dans une campagne qu'ils appellent LLMShare. Cela vaut la peine d'être compris en détail, parce que c'est un exemple net d'un schéma d'attaque qui va continuer à réapparaître : non pas s'introduire dans un service de confiance, mais louer sa réputation.

La page était vraiment sur chatgpt.com.

ChatGPT, comme la plupart des grands produits d'IA, vous laisse partager une conversation. Vous cliquez sur partager, vous obtenez un lien sous chatgpt.com/s/, et quiconque possède le lien voit une copie rendue de l'échange. Utile, ordinaire, partout.

Le piège tient à ce que « rendu » signifie. Ces pages partagées peuvent inclure la sortie du modèle, et cette sortie peut contenir du HTML et du CSS — les mêmes ingrédients dont est faite n'importe quelle page web. Alors, au lieu de partager une conversation, l'attaquant partage une « conversation » dont le contenu est un faux fabriqué à la main : une alerte de panne OpenAI fidèle au pixel près, avec les bonnes polices, le bon bleu, le bon ton. Selon les recherches, l'indice qui trahit est subtil — la vue partagée porte toujours les contrôles « Show code » et « Remix » propres à ChatGPT, le signe que la « page de panne » n'est que du balisage personnalisé rédigé par quelqu'un.

L'intérêt de procéder ainsi, c'est l'URL. Le leurre du malware ne vit pas sur chatgpt-downloads-official.biz. Il vit sur chatgpt.com, un domaine à la réputation immaculée, au certificat valide, et qui occupe une place dans la mémoire musculaire de tous ceux qui ont déjà utilisé le produit. Chaque défense qui fonctionne en demandant « est-ce un domaine en qui nous avons confiance ? » répond oui, parce que la réponse honnête est oui.

La chaîne emprunte de la confiance à chaque saut. Une publicité Google payante prête sa légitimité au clic ; le lien de partage chatgpt.com prête sa légitimité à la page ; et une redirection furtive prête un certificat de bonne santé aux scanners automatisés. Seul le binaire final est ouvertement malveillant — et à ce moment-là l'utilisateur a déjà été conduit au-delà de chaque point de contrôle.

Le serveur de téléchargement ment au scanner.

Cliquez sur le bouton de téléchargement de la fausse page de panne et vous êtes envoyé hors de chatgpt.com vers openew[.]app, un site déguisé en portail de téléchargement officiel d'OpenAI. C'est là que vit la seconde pièce de dissimulation.

La dissimulation consiste à montrer un contenu différent à des visiteurs différents. Le serveur de l'attaquant regarde qui demande. Si la requête sent le scanner de sécurité automatisé — et une grande partie de la sécurité d'internet repose sur des services comme URLScan qui parcourent les URL et les rendent dans un bac à sable — le serveur sert quelque chose d'inoffensif. Dans ce cas, selon les recherches, les scanners qui visitaient l'URL se voyaient présenter le site inoffensif d'une société de réalité augmentée / réalité virtuelle. Propre. Rien à signaler. Si au contraire la requête sent l'humain réel qui a suivi le leurre, le serveur sert le malware.

Ainsi le verdict automatisé sur openew[.]app est « bénin », et le verdict humain — celui qui compte — n'obtient jamais de second avis. Le téléchargement est proposé à la fois pour macOS et Windows, parce que l'attaquant ne sait ni ne se soucie de savoir lequel vous utilisez ; il veut les deux publics. (L'échantillon Windows vérifie même s'il tourne à l'intérieur d'une machine virtuelle avant de poursuivre, une manœuvre courante pour esquiver les bacs à sable d'analyse — gardez cette idée en tête.)

Rien de tout cela n'est exotique. C'est la même famille de savoir-faire que les chaînes de malvertising et d'empoisonnement SEO dont nous avons déjà parlé. Ce qui rend LLMShare digne d'un billet, c'est la qualité de la confiance qu'elle emprunte. Les mêmes chercheurs disent que le schéma n'est pas propre à ChatGPT : ils ont vu les fonctions de partage/rendu d'autres produits d'IA — les Artifacts de Claude, les conversations Grok partagées — mises au même service. Tout produit qui laisse un inconnu publier du HTML rendu sous le domaine de votre marque est devenu, sans le vouloir, un hébergeur pour quiconque veut abuser de cette marque.

Pourquoi chaque point de contrôle le laisse passer.

Reparcourez la chaîne et remarquez que chaque instinct défensif d'un utilisateur prudent est satisfait par conception :

Est-ce le vrai site ?

Oui. La barre d'adresse affiche chatgpt.com, le certificat est valide, la page est servie par OpenAI. « Vérifiez l'URL » — le conseil que nous donnons tous — renvoie une réponse propre, parce que l'URL est propre.

Un scanner a-t-il signalé l'hôte de téléchargement ?

Non. Le domaine de redirection se dissimule : il montre aux robots de sécurité un site de RA/RV bénin et réserve le malware aux victimes humaines. Les flux de réputation et les badges « ce lien a été vérifié » ne signalent rien d'anormal.

La page a-t-elle l'air d'un phishing ?

Non. Elle a été rédigée en HTML/CSS fidèle pour imiter une alerte de panne OpenAI. Pas de faute de frappe maladroite, pas de logo hors charte, pas d'indice de traduction approximative. Elle ressemble exactement à ce qu'elle prétend être.

Télécharger une application de bureau est-il inhabituel ?

Non. Beaucoup de services réels vous incitent à installer une application native, et un site qui peine sous la charge est une raison familière et plausible d'en proposer une. L'histoire tient debout.

C'est la partie inconfortable. Les conseils standards — inspectez l'URL, faites confiance aux liens scannés, méfiez-vous du phishing bâclé, soyez prudent face aux domaines bizarres — sont de bons conseils, et cette campagne traverse tout cela sans encombre. Quand le signal du domaine de confiance est l'attaque, le signal cesse d'aider. Vous ne pouvez pas dire à une personne prudente d'être plus prudente face à une page qui passe chaque vérification qu'elle connaît.

La question intéressante n'est donc pas « comment l'utilisateur aurait-il pu le repérer ». Pour la plupart des utilisateurs, la plupart du temps, ils ne le pouvaient pas. La question intéressante est la suivante : que se passe-t-il au moment où le binaire s'exécute réellement ?

Tout se passe dans un seul onglet.

Regardez à nouveau la chaîne et remarquez où elle vit. La publicité s'ouvre dans le navigateur. La page chatgpt.com se rend dans le navigateur. La fausse alerte de panne est une page web dans le navigateur. La redirection se produit dans le navigateur. Le téléchargement est initié par le navigateur. La seule étape qui quitte le navigateur est la dernière — quand l'installateur téléchargé est exécuté et commence à faire ce pour quoi il a été conçu, sur l'ordinateur, avec les fichiers et les permissions de l'utilisateur.

Ce dernier saut est tout l'enjeu. Tout ce qui le précède est de la mise en scène. L'attaquant a dépensé un effort réel pour le budget publicitaire, la page convaincante, l'infrastructure de dissimulation — tout cela au service de l'exécution d'un seul binaire sur une seule machine. Si le binaire s'exécute quelque part qui ne contient rien de vous, l'attaquant a dépensé tout cela pour compromettre une pièce vide.

C'est cette géométrie que Bromure change. Dans Bromure, le navigateur ne tourne pas sur votre ordinateur au sens ordinaire. Chaque onglet tourne à l'intérieur d'une machine virtuelle Linux jetable — un invité scellé avec son propre système de fichiers, démarré depuis une image propre, qui n'a aucune vue sur vos fichiers, votre trousseau, vos autres onglets ou votre réseau local. La page web, le moteur de rendu, le JavaScript, le téléchargement et la première exécution du programme téléchargé se produisent tous à l'intérieur de cet invité. Quand vous fermez la fenêtre, l'invité et tout ce qu'il contient est détruit.

Même campagne, même page convaincante, même installateur téléchargé. À gauche, un navigateur traditionnel : exécuter l'installateur signifie l'exécuter sur votre machine, contre vos fichiers. À droite, Bromure : l'installateur s'exécute à l'intérieur d'une VM jetable qui ne contient rien de vous, et la VM — installateur compris — est effacée quand vous fermez la fenêtre.

Remarquez ce que le signal du domaine de confiance achète à l'attaquant ici : rien. Toute la campagne est conçue pour vaincre la question « est-ce que je fais confiance à cette page ». Bromure ne pose pas cette question. Il n'a pas besoin de savoir si chatgpt.com est digne de confiance, parce qu'il ne laisse pas le contenu d'une page — de confiance ou non — passer au-delà de la VM invitée en premier lieu. La page pourrait être la plus légitime d'internet, le confinement serait identique. La confiance n'est tout simplement pas la charge que porte l'architecture.

Il en va de même pour l'astuce de dissimulation face aux scanners. L'attaquant a travaillé dur pour rendre openew[.]app bénin aux yeux de l'analyse automatisée. Bromure ne dépend pas du fait que cette analyse ait raison. Même si l'hôte de téléchargement est noté parfaitement propre et que le fichier est laissé passer, le fichier arrive dans un invité jetable. Et rappelez-vous l'échantillon Windows qui vérifie s'il tourne dans une machine virtuelle avant de se déballer : ce réflexe anti-analyse joue désormais contre l'attaquant, pas pour lui — le malware qui refuse de tourner dans une VM refuse de tourner dans le seul endroit où il a réussi à atterrir.

Ce que cela ne résout pas.

L'isolation confine l'exécution. Elle ne réécrit pas la réalité. Deux lacunes honnêtes valent la peine d'être nommées.

Premièrement, Bromure ne vous empêche pas d'être convaincu. Si la page vous persuade de taper votre vrai mot de passe OpenAI dans un vrai formulaire de connexion, ou de sortir un fichier de l'invité pour le porter sur votre Mac et l'exécuter vous-même là-bas, l'isolation a été contournée par vos propres mains. La protection est que la mise en scène et la première exécution du malware sont confinées — pas que l'ingénierie sociale devienne impossible. Une page aussi douée pour l'usurpation reste une page dont il vaut la peine de se méfier ; l'architecture abaisse les enjeux d'être dupé, elle n'augmente pas vos chances de repérer le dupeur.

Deuxièmement, c'est fondamentalement une attaque livrée par le navigateur, et c'est exactement pourquoi le confinement est décisif. Toute la chaîne — publicité, page, redirection, téléchargement, première exécution — vit dans l'onglet. Il n'y a pas d'application native séparée à compromettre, pas de client de messagerie, pas de second programme en qui l'utilisateur a confiance. Décapitez la chaîne au point où le binaire s'exécute et il ne reste rien en aval. Quand l'attaque commence et se termine dans le navigateur, un navigateur qui absorbe le coup est le bon endroit où se tenir.

La prochaine sera aussi sur un domaine en qui vous avez confiance.

LLMShare n'est pas vraiment une histoire à propos de ChatGPT. C'est une histoire à propos d'une technique : prenez un service auquel les gens font confiance, trouvez le recoin qui laisse un inconnu publier du HTML rendu sous son nom, et utilisez ce recoin pour héberger le leurre. ChatGPT aujourd'hui ; les chercheurs voient déjà Claude et Grok utilisés de la même façon ; demain ce sera quel que soit le produit à la fois populaire et généreux quant à ce qu'il rendra en votre nom.

Vous ne pouvez pas gagner cela en devenant meilleur pour repérer les mauvais domaines, parce que toute la manœuvre consiste à utiliser les bons. Vous le gagnez en rendant la barre d'adresse sans rapport avec votre sécurité — en agençant les choses pour que la pire chose qu'une page puisse faire, peu importe le logo qu'elle arbore, soit de remplir une pièce jetable que vous videz en fermant une fenêtre.

C'est à cela que sert Bromure. Installez-le, faites-en votre navigateur par défaut, et faites en sorte que la confiance empruntée n'achète rien à l'attaquant.