Quand l’IA vous trahit : faille critique chez Lenovo

Tech / IA / Cyberattaque / ChatBots
Par Christophe Romei publié le 19 août 2025 à 14h00.
Tech
Lena, le chatbot de Lenovo

Image d'illustration. Lena LenovoADN

Une vulnérabilité XSS dans le chatbot de Lenovo a permis à des hackers d'extraire des données sensibles. Un rappel brutal que l'IA sans sécurité peut devenir un véritable cheval de Troie.

Tl;dr

  • Failles XSS découvertes dans le chatbot IA de Lenovo.
  • Des hackers pouvaient voler des données clients facilement.
  • Problème corrigé, mais la vigilance reste nécessaire.

Une vulnérabilité inattendue chez Lenovo

La société Lenovo s’est retrouvée sous les projecteurs après la découverte d’une faille critique dans son chatbot d’intelligence artificielle, baptisé Lena. Conçue pour faciliter le service client sur le site de l’entreprise, cette solution reposait toutefois sur un niveau de confiance envers les utilisateurs qui s’est avéré problématique. Des chercheurs en cybersécurité de chez Cybernews ont mis au jour une faiblesse qui aurait pu avoir des conséquences sérieuses pour la sécurité des données.

XSS : une menace persistante à l’ère de l’IA

Ce sont les techniques d’XSS (cross-site scripting), pourtant bien connues et censées appartenir au passé, qui ont resurgi par le biais de cette intelligence artificielle. Un simple message habilement formulé permettait à un pirate de manipuler Lena afin qu’elle exécute du code malveillant. L’exploitation ne nécessitait pas une sophistication technique particulière : il suffisait d’inciter le chatbot à structurer ses réponses selon des instructions précises pour que des informations sensibles – notamment les cookies de session – soient envoyées aux attaquants.

Risques pour les clients et l’entreprise

Cette brèche ouvrait la porte à plusieurs dérives préoccupantes. Les cybercriminels étaient alors en mesure :

  • de se faire passer pour des agents du support client,
  • d’accéder aux conversations privées,
  • d’infiltrer potentiellement d’autres parties du système informatique de Lenovo.

Le défaut majeur provenait d’un manque de filtrage et de vérification adéquate des données soumises par les utilisateurs au chatbot.

L’urgence du renforcement sécuritaire

Heureusement, l’équipe technique de Lenovo a réagi rapidement et corrigé la faille dès qu’elle en a été informée. Cependant, cet épisode illustre crûment à quel point un chatbot IA trop docile peut devenir un vecteur d’attaque massif. Comme le soulignent avec gravité les experts de Cybernews, « Cet exemple montre combien une IA “trop serviable” peut s’avérer dangereuse si elle obéit aveuglément aux instructions. Sans protections solides, les chatbots deviennent des cibles privilégiées pour les cyberattaques et mettent en péril la confidentialité des clients comme celle des entreprises. » Un avertissement clair adressé à tous ceux qui déploient ce type de solutions sans blindage suffisant.

En savoir plus