Se connecter S'abonner
Par Reservoir Live

ChatGPT sur Google : l'arnaque qui piège des milliers d'utilisateurs

ChatGPT sur Google : l'arnaque qui piège des milliers d'utilisateurs

Vous cherchez ChatGPT sur Google. Vous tombez dans un piège.

Chaque jour, des millions de personnes tapent "ChatGPT" dans la barre de recherche Google. Et chaque jour, des cybercriminels organisés placent délibérément de fausses pages en tête des résultats pour les intercepter. Ce n'est pas une théorie. C'est une campagne active, documentée, qui fait des victimes en ce moment même.

Ce qui rend cette arnaque particulièrement redoutable, c'est qu'elle exploite deux réflexes humains très puissants : la confiance accordée aux premiers résultats Google, et l'enthousiasme autour de l'intelligence artificielle. Résultat : des utilisateurs parfaitement raisonnables se font piéger en moins de 60 secondes.

Comment fonctionne l'arnaque concrètement ?

Le schéma est simple, mais diablement efficace. Les attaquants utilisent principalement Google Ads — le système de publicité payante de Google — pour acheter des emplacements sponsorisés sur les mots-clés les plus recherchés : "ChatGPT", "OpenAI", "ChatGPT gratuit", "ChatGPT en français".

Ces annonces sont visuellement identiques aux résultats organiques. L'URL affichée ressemble à chatgpt-officiel.com ou openai-connect.net. Le logo, les couleurs, la mise en page : tout est copié à la perfection depuis le vrai site d'OpenAI.

Une fois sur la fausse page, plusieurs scénarios se déroulent :

  • Le vol de compte : un formulaire de connexion factice capture votre email et votre mot de passe. Ces identifiants sont revendus sur le dark web en quelques heures.
  • Le faux abonnement : on vous propose un "ChatGPT Plus" à prix réduit. Votre numéro de carte bancaire disparaît sans que vous accédiez jamais à quoi que ce soit.
  • L'installation de malware : certaines pages vous invitent à "télécharger l'application officielle ChatGPT pour Windows". L'exécutable installe un logiciel espion qui capture vos mots de passe, vos données bancaires, vos conversations.
  • Le phishing en cascade : après avoir récupéré votre email, les criminels vous envoient une série de faux messages OpenAI pour extraire encore plus d'informations.

Pourquoi Google ne bloque pas ces annonces ?

La question est légitime, et la réponse est frustrante. Google dispose de systèmes de détection automatisés, mais les cybercriminels ont appris à les contourner avec une précision chirurgicale. Ils utilisent des techniques dites de "cloaking" : l'annonce présente un contenu parfaitement normal aux robots de Google, et un contenu frauduleux aux vrais utilisateurs.

De plus, les campagnes malveillantes sont lancées avec des comptes publicitaires légitimes, rachetés ou piratés, ce qui leur confère une apparence de crédibilité aux yeux des algorithmes de modération. Certaines campagnes ne durent que quelques heures avant d'être retirées — mais en quelques heures, des centaines de victimes ont déjà cliqué.

Google investit massivement pour lutter contre ces abus, mais la vérité est que la plateforme publicitaire la plus utilisée au monde est aussi l'une des surfaces d'attaque les plus exploitées.

Les signaux d'alerte que personne ne regarde

Voici ce qui distingue une fausse page d'une vraie, si vous savez quoi chercher :

  • L'URL exacte dans la barre d'adresse : le seul vrai domaine de ChatGPT est chat.openai.com. Tout autre domaine, aussi convaincant soit-il, est une imposture.
  • La mention "Sponsorisé" : les annonces payantes portent toujours cette mention dans les résultats Google. Ce n'est pas un gage de légitimité.
  • Les demandes inhabituelles : OpenAI ne vous demandera jamais de télécharger un exécutable depuis une page web pour accéder à ChatGPT.
  • Le certificat HTTPS : le cadenas dans la barre d'adresse ne garantit rien. Les faux sites utilisent aussi HTTPS. Ne vous fiez pas à ce seul indicateur.

Qui sont les principales victimes ?

Contrairement à ce qu'on pourrait penser, les victimes ne sont pas uniquement des personnes peu familières avec la technologie. Les analyses forensiques des campagnes identifiées montrent que les professionnels et les entreprises sont particulièrement ciblés.

Pourquoi ? Parce qu'un salarié qui se fait voler ses identifiants professionnels peut ouvrir une porte sur tout le réseau de son entreprise. Les attaquants savent qu'une seule intrusion réussie en milieu professionnel vaut infiniment plus qu'une dizaine de victimes particulières.

Ce que vous devez faire dès maintenant

Quelques réflexes simples suffisent à vous protéger :

  • Bookmarkez le vrai site : ajoutez chat.openai.com à vos favoris et accédez-y uniquement depuis là.
  • Activez l'authentification à deux facteurs sur votre compte OpenAI et sur tous vos comptes sensibles.
  • Ne cliquez jamais sur une annonce sponsorisée pour accéder à un service que vous utilisez régulièrement.
  • Utilisez un gestionnaire de mots de passe : il refusera automatiquement de remplir vos identifiants sur un faux domaine.

L'IA comme terrain de chasse permanent

Cette arnaque autour de ChatGPT n'est pas un incident isolé. Elle illustre une tendance de fond : chaque fois qu'une technologie devient virale, les cybercriminels s'y engouffrent immédiatement. On a vu la même chose avec les faux sites de streaming, les faux portefeuilles crypto, les faux antivirus.

Avec l'essor de l'IA générative — ChatGPT, Gemini, Claude, Copilot — la surface d'attaque explose. De nouveaux outils apparaissent chaque semaine, créant autant d'opportunités pour des pages frauduleuses difficiles à distinguer des vraies.

La popularité de l'IA est réelle. Les risques qui l'accompagnent le sont tout autant. La meilleure défense reste, aujourd'hui comme toujours, la vigilance : une seconde de vérification de l'URL vaut mieux qu'une heure à gérer les conséquences d'un compte compromis.

Reservoir Live

Précédent

ChatGPT encourage des comportements dangereux : ce que personne ne dit
Partager
Suivant

OpenAI vient de faire ce que Microsoft n'avait jamais osé.