Phishing d’un nouveau genre : des hackers créent de fausses organisations ChatGPT pour piéger des employés

Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

C’est l’un des premiers acteurs à avoir théorisé ce type d’attaque qui en est finalement devenu la cible.

Dans un billet de blog publié le 26 juin 2026, le vice-président de Push Security rapporte que plusieurs employés de l’entreprise américaine ont reçu, ces dernières semaines des invitations à rejoindre une organisation ChatGPT nommée « Push Security Inc. ».

Ce compte professionnel malveillant, créé à l’insu de l’entreprise par un attaquant inconnu, a rapidement été détecté en interne. L’équipe a néanmoins décidé d’accepter l’une des invitations pour analyser ce qui se cachait derrière.

À l’intérieur : un espace de travail vide, un compte propriétaire enregistré sous le nom du PDG de Push, et une carte de crédit probablement volée, déjà associée au compte de facturation.

Le cœur de l’attaque repose sur une fonctionnalité standard de ChatGPT : la création d’organisations.

N’importe quel utilisateur peut créer un espace de travail, lui donner le nom qu’il souhaite, et inviter des personnes à le rejoindre, c’est ce que font des milliers d’entreprises légitimement.

Pour identifier leurs cibles, les attaquants procèdent individuellement : les adresses email professionnelles des employés visés sont récoltées en amont, probablement via LinkedIn ou toute autre source publique accessible. Push Security n’est pas un cas isolé, d’autres entreprises des secteurs tech et cybersécurité ont reçu des invitations similaires.

Une fois l’invitation acceptée, les employés sont intégrés au faux espace de travail. Ce qui rend l’attaque particulièrement difficile à détecter, c’est qu’elle emprunte l’infrastructure d’OpenAI elle-même. Lorsqu’une invitation est envoyée, c’est OpenAI qui génère et expédie l’email depuis ses propres serveurs, avec sa propre identité visuelle. Le message passe tous les filtres d’authentification et est visuellement identique à une vraie invitation d’entreprise. Le seul signal d’alerte : une mention indiquant que le domaine de l’expéditeur est un Gmail et non celui de l’entreprise qui tient en une ligne.

Les équipes de Push Security précisent qu’au moment de la découverte, l’espace de travail de l’organisation frauduleuse était vide. Selon eux, l’objectif n’est pas de voler un mot de passe ou de rediriger vers un site malveillant, mais d’amener les employés à utiliser cet espace comme s’il s’agissai