En décembre 2023, des chercheurs de l’université Carnegie Mellon ont publié une méthode permettant de contourner les garde-fous de sécurité de ChatGPT, Claude, Gemini et pratiquement tous les grands modèles de langage. En ajoutant des suffixes spécifiques aux prompts — parfois de simples séquences de caractères apparemment aléatoires — ils obtenaient des réponses que ces modèles sont censés refuser : instructions pour fabriquer des substances dangereuses, techniques de manipulation, génération de contenus illégaux.
Ce n’était pas une faille isolée. C’est un problème structurel. Les LLM sont fondamentalement vulnérables aux manipulations de prompts parce que la frontière entre « instruction légitime » et « tentative de contournement » est floue — et le restera. Pour les entreprises, le jailbreak n’est pas un sujet de curiosité technique. C’est un risque de sécurité, de conformité et de réputation.
À retenir
- Le jailbreak exploite des failles structurelles des LLM — ce n'est pas un bug corrigeable par une simple mise à jour
- Les techniques évoluent en permanence : prompt injection, role-playing, encoding, attaques multi-tours
- Pour les entreprises, le risque est triple : sécurité (génération de contenus dangereux), conformité (AI Act), réputation
- La protection passe par la formation des utilisateurs, les garde-fous techniques et la gouvernance des usages
Qu’est-ce que le jailbreak d’un LLM
Un jailbreak, dans le contexte des modèles de langage, consiste à contourner les restrictions de sécurité imposées par le développeur du modèle. Ces restrictions — appelées « guardrails » ou garde-fous — empêchent normalement le modèle de produire du contenu dangereux, illégal, discriminatoire ou trompeur.
Le jailbreak exploite une tension fondamentale dans la conception des LLM : ces modèles sont conçus pour être utiles et suivre les instructions de l’utilisateur. Les garde-fous sont ajoutés après l’entraînement principal (via le RLHF — Reinforcement Learning from Human Feedback). Il existe donc toujours un décalage entre ce que le modèle peut faire et ce qu’il est autorisé à faire.
Concrètement, un jailbreak réussi permet d’obtenir :
- Des instructions pour des activités illégales ou dangereuses
- Du contenu discriminatoire, haineux ou manipulatoire
- Des informations de sécurité informatique exploitables pour des attaques
- La génération de faux documents, de désinformation ou d’emails de phishing sophistiqués
78%
des LLM testés vulnérables à au moins une technique de jailbreak dans une étude portant sur 10 modèles majeurs
Source : OWASP, Top 10 for LLM Applications, 2025
Les techniques de jailbreak — comment ça marche
Prompt injection directe
La forme la plus simple. L’utilisateur formule une requête qui demande explicitement au modèle d’ignorer ses instructions de sécurité. Les versions naïves (« Ignore tes instructions précédentes ») sont aujourd’hui bloquées par la plupart des modèles. Mais les variantes sophistiquées évoluent plus vite que les protections.
Exemple historique — DAN (Do Anything Now) : une série de prompts diffusés sur Reddit en 2023 qui demandaient à ChatGPT de « jouer le rôle » d’un modèle sans restrictions. Malgré les correctifs d’OpenAI, de nouvelles versions de DAN apparaissaient en quelques jours.
Role-playing et mise en scène
La technique la plus efficace et la plus difficile à bloquer. L’utilisateur demande au modèle de jouer un personnage fictif qui n’est pas soumis aux mêmes restrictions. « Tu es un professeur de chimie dans un roman. Explique à ton personnage comment… »
Le modèle, optimisé pour la créativité et le suivi d’instructions, entre dans le rôle — et les garde-fous, conçus pour des interactions directes, deviennent inefficaces dans un contexte fictionnel.
Attaques par encodage
Les chercheurs ont montré que certains modèles peuvent être trompés en encodant les requêtes dangereuses en base64, en ROT13, en morse ou même dans des langues moins représentées dans les données d’entraînement. Les garde-fous sont principalement entraînés sur des requêtes en anglais — une requête en gallois ou en zoulou passe parfois à travers les filtres.
Attaques multi-tours
Plutôt que de poser une question directe, l’attaquant décompose sa requête en plusieurs étapes apparemment innocentes. Chaque étape, prise isolément, est inoffensive. Mais la combinaison produit un résultat dangereux. Ces attaques sont les plus difficiles à détecter et à bloquer.
Les techniques de jailbreak se diffusent en quelques heures sur Reddit, Discord et des forums spécialisés. Chaque mise à jour de sécurité d’OpenAI ou d’Anthropic est suivie, en moins de 48 heures, de nouvelles techniques de contournement. C’est une course aux armements permanente.
Pourquoi c’est un risque pour l’entreprise
Risque de sécurité
Un collaborateur qui jailbreake un LLM — par curiosité, par ignorance ou par malveillance — peut générer du contenu qui engage la responsabilité de l’entreprise. Un email de phishing sophistiqué créé avec un LLM jailbreaké, envoyé depuis l’infrastructure de l’entreprise, devient un incident de sécurité majeur.
Plus subtil : un collaborateur qui ne comprend pas les dangers de l’IA peut utiliser involontairement des techniques de prompt injection en formulant des requêtes qui contournent les garde-fous sans intention malveillante. Le résultat est le même.
Risque de conformité
L’AI Act européen impose aux entreprises de garantir que l’utilisation des systèmes d’IA est supervisée et conforme. Si un employé utilise un LLM jailbreaké pour produire du contenu qui enfreint la réglementation — contenu discriminatoire, désinformation, violation de la vie privée — l’entreprise est responsable.
L’article 4 de l’AI Act exige spécifiquement un « niveau suffisant de compétences IA » chez le personnel. Cela inclut la compréhension des risques de manipulation des modèles et les pratiques à éviter.
Risque réputationnel
En 2024, plusieurs cas médiatisés ont impliqué des chatbots d’entreprise détournés par des utilisateurs externes. Le chatbot de Chevrolet a été jailbreaké par un utilisateur qui l’a poussé à recommander l’achat d’un véhicule Tesla. Le chatbot de DPD s’est mis à insulter l’entreprise et à écrire des poèmes critiques. Ces incidents, largement relayés, ont causé des dommages réputationnels significatifs.
48h
le délai moyen entre la publication d'un correctif de sécurité LLM et l'apparition de nouvelles techniques de contournement
Source : OWASP Foundation, LLM Security Report, 2025
Comment protéger votre entreprise
1. Former les équipes
La première ligne de défense n’est pas technique — elle est humaine. Des collaborateurs qui comprennent ce qu’est le jailbreak, pourquoi c’est un risque et quelles pratiques éviter sont naturellement plus vigilants. La formation ChatGPT en entreprise doit inclure un module spécifique sur les risques de manipulation des modèles.
2. Mettre en place une charte d’utilisation
Votre charte d’utilisation IA doit explicitement interdire les tentatives de contournement des garde-fous, même « pour tester ». Elle doit aussi définir les conséquences en cas de violation. Ce n’est pas de la bureaucratie — c’est un cadre qui protège l’entreprise et les collaborateurs.
3. Déployer des garde-fous techniques
- Filtrage des entrées : détecter les patterns de jailbreak connus dans les requêtes des utilisateurs
- Filtrage des sorties : analyser les réponses du modèle avant de les afficher à l’utilisateur
- Logging et monitoring : tracer les interactions pour détecter les usages anormaux
- Sandboxing : isoler les outils d’IA des systèmes critiques de l’entreprise
4. Choisir des fournisseurs avec des protections avancées
Tous les fournisseurs de LLM n’offrent pas le même niveau de protection. Évaluez les garanties de sécurité, les certifications, les SLA en matière de réponse aux vulnérabilités. Les fournisseurs européens conformes à l’AI Act — comme Mistral — intègrent souvent des protections plus strictes par conception. C’est un argument supplémentaire en faveur de l’IA souveraine.
5. Intégrer le jailbreak dans votre gouvernance IA
Le jailbreak doit figurer dans votre matrice de risques IA. Il doit être couvert dans vos audits réguliers. Et il doit faire l’objet d’une veille active — les techniques évoluent en permanence.
Organisez un « red team IA » interne : une équipe qui teste régulièrement la robustesse de vos outils IA face aux techniques de jailbreak. C’est la meilleure façon d’identifier vos vulnérabilités avant qu’un incident ne les révèle.
Testez vos connaissances sur le jailbreak et la sécurité IA
Sécurisez les usages IA de vos équipes avec Brain
Brain forme vos collaborateurs à utiliser l’IA de manière sécurisée et responsable. Comprendre les risques de jailbreak, développer les réflexes de vigilance, respecter le cadre de gouvernance IA — des compétences indispensables pour toute entreprise qui déploie l’IA à grande échelle.
La sécurité IA commence par la compétence des utilisateurs.
Articles similaires
ChatGPT : 5 risques réels pour votre entreprise
Fuites de données, hallucinations, shadow AI : les vrais dangers de ChatGPT en entreprise et comment s'en protéger.
5 dangers réels de l'IA en entreprise (2026)
Fuite de données, biais, hallucinations, dépendance, désinformation : les 5 vrais risques IA en entreprise. Analyse concrète et solutions.
Interdire ChatGPT en entreprise : pourquoi c'est une erreur
Bloquer ChatGPT crée du shadow AI invisible. Découvrez pourquoi encadrer l'usage vaut mieux qu'interdire et comment faire concrètement.