Peut-on laisser une IA accéder à sa boîte mail sans risque ?
Prudence : donner à une IA l'accès à votre boîte mail expose tout votre courrier, et un e-mail piégé peut la détourner. Accordez le minimum et anonymisez.
Prudence. Laisser une IA accéder à votre boîte mail n'est pas sans risque. Souvent, l'assistant demande un accès large : lire, écrire, envoyer, parfois supprimer. Cet accès touche tout : contacts, factures, mots de passe reçus, pièces jointes, des années d'archives. Le contenu quitte alors souvent les serveurs de votre messagerie pour ceux de l'éditeur. Et en 2025, une faille a montré qu'un simple e-mail piégé pouvait détourner l'assistant. La règle sûre est simple : n'accordez que le minimum, évitez l'accès complet, et anonymisez ce que vous confiez à l'IA.
Ce que l'IA voit vraiment quand vous lui donnez accès
Commençons par les permissions. Un assistant IA d'e-mail vous demande d'autoriser un « scope ». Un scope, c'est le périmètre d'accès accordé à l'appli. Chez Gmail, ces périmètres sont classés par niveau.
Le plus large s'appelle mail.google.com. Il donne à l'appli connectée le droit de lire, rédiger, envoyer et supprimer définitivement TOUT votre courrier. C'est l'accès le plus étendu possible à une boîte. Google le classe comme scope « restreint ».
Vous croyez peut-être qu'un accès « en lecture seule » reste étroit. Il ne l'est pas. Le scope gmail.readonly laisse l'appli voir tous vos messages et tous vos réglages. Pas seulement les nouveaux e-mails. Il expose donc votre historique entier : contacts, factures, reçus, pièces jointes.
Pourquoi Google parle-t-il de scope « restreint » ? Parce que ces permissions donnent un « accès large » à vos données. Toute appli qui stocke ou transmet ces données Gmail sur ses propres serveurs doit passer un audit annuel. Cet audit est indépendant, mené par un évaluateur agréé par Google. La conséquence est claire. Donner un accès complet à un assistant IA a un effet concret. Le contenu de vos e-mails quitte les serveurs de Google pour ceux de l'éditeur.
| Vous pensez | La réalité |
|---|---|
| « Lecture seule, c'est limité » | gmail.readonly voit TOUS vos messages et réglages, pas seulement les nouveaux |
| « L'IA ne lit que ce que je lui demande » | L'accès complet permet de lire, écrire, envoyer et supprimer TOUT le courrier |
| « Mon contenu reste chez Google » | Une appli tierce qui stocke ces données les héberge sur ses propres serveurs |
| « Un e-mail ne peut pas pirater mon IA » | Un e-mail piégé peut cacher des instructions que l'IA exécute (EchoLeak, 2025) |
Où va le contenu, et qui peut le lire
Une fois vos e-mails chez l'éditeur, qu'en fait-il ? Google impose des règles, dites « Limited Use ». Elles encadrent les applis qui utilisent des scopes restreints.
Ces règles interdisent aux humains de lire vos données, sauf cas précis. Par exemple : votre accord explicite pour voir des éléments donnés, une enquête de sécurité, une obligation légale, ou un usage interne agrégé et anonymisé. Elles interdisent aussi de vendre vos données ou de s'en servir pour la publicité.
Il y a pourtant une nuance de taille. Ces règles décrivent ce que l'éditeur promet. Dans la pratique, vous devez lui faire confiance pour les respecter. Vous ne pouvez pas le vérifier vous-même en direct. Le contrôle vous échappe dès que la donnée sort de votre navigateur.
C'est déjà vrai quand vous laissez l'IA rédiger un e-mail à votre place. Donner accès à toute la boîte va bien plus loin. Le même souci touche les navigateurs IA qui lisent vos pages : plus l'outil voit, plus la surface exposée grandit.
Le vrai risque 2025 : l'e-mail piégé qui détourne l'IA
Il existe un risque plus récent, et plus sournois. Il s'appelle l'injection de prompt. L'OWASP la classe numéro un de son Top 10 des risques pour les applications d'IA en 2025 (référence LLM01).
Le principe est simple. L'IA lit un contenu externe : une page web, un document, un e-mail. Ce contenu cache des instructions. L'IA les suit comme si elles venaient de vous. C'est l'injection « indirecte ». Et l'OWASP le précise : ces instructions n'ont pas besoin d'être visibles pour un humain.
La conséquence peut être une fuite silencieuse de données. Des instructions cachées poussent le modèle à insérer une image. Cette image pointe vers une adresse contrôlée par l'attaquant. La conversation privée fuite alors vers lui. L'utilisateur, lui, ne voit rien.
La chaîne d'attaque était soignée. Elle contournait le classifieur anti-injection de Microsoft (dit XPIA). Elle abusait d'un format Markdown, d'images chargées automatiquement et d'un proxy autorisé pour exfiltrer les données. La faille était notée critique (score CVSS 9,3). Microsoft l'a corrigée côté serveur et indique n'avoir aucune preuve d'une exploitation réelle.
La parade : accès minimal et anonymisation
Que faire, alors ? La bonne posture tient en un principe simple. Laissez l'IA vous aider à rédiger un e-mail, mais ne lui confiez pas toute la boîte. Accordez le périmètre le plus petit possible.
- Évitez l'accès complet en lecture, envoi et suppression.
- Préférez des permissions étroites, ou limitées aux métadonnées.
- Méfiez-vous des e-mails inconnus quand un assistant résume votre boîte.
- Anonymisez le contenu sensible avant de le coller dans une IA.
Cette dernière étape est la plus robuste. Elle ne dépend pas des promesses de l'éditeur. Voici comment elle marche, dans l'ordre :
- 1Repérez la donnée sensible dans votre texte : noms, e-mails, identifiants.
- 2Remplacez-la par des jetons réversibles, côté navigateur.
- 3N'envoyez que le texte anonymisé au modèle.
- 4Restaurez les vraies valeurs dans la réponse, en local.
C'est le rôle d'ONYRI Sanitize. Le moteur repère les données sensibles et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur, et ne le quittent jamais. Seul un texte anonymisé atteint le modèle. L'IA n'y voit que des jetons — pas vos e-mails, vos contacts ni vos pièces jointes réels. Vous gardez l'aide de l'IA, sans lui ouvrir toute votre boîte.
Questions fréquentes
- Peut-on laisser une IA accéder à sa boîte mail sans risque ?
- Avec prudence seulement. Un assistant IA d'e-mail demande souvent un accès large : lire, écrire, envoyer, parfois supprimer. Cet accès expose tout : contacts, factures, pièces jointes, des années d'archives. Le contenu quitte alors souvent les serveurs de votre messagerie. Pour limiter le risque, n'accordez que le minimum, évitez l'accès complet, et anonymisez le contenu sensible avant de l'envoyer à l'IA.
- L'accès « en lecture seule » à Gmail est-il vraiment limité ?
- Non. Le scope gmail.readonly laisse l'appli voir tous vos messages et tous vos réglages, pas seulement les nouveaux e-mails. Il expose donc votre historique entier. Google classe d'ailleurs les permissions de lecture de la boîte comme scopes « restreints », car elles donnent un « accès large » à vos données.
- Qu'est-ce que l'injection de prompt par e-mail ?
- C'est une attaque où un e-mail cache des instructions que l'IA exécute en le lisant. L'OWASP la classe premier risque des applications d'IA en 2025. En 2025, la faille EchoLeak (CVE-2025-32711) a montré qu'un seul e-mail piégé pouvait faire fuiter des données via Microsoft 365 Copilot, sans le moindre clic.
Sources et références
- Choose Gmail API scopes (mail.google.com est un scope restreint d'accès complet ; gmail.readonly voit tous les messages et réglages) — Google for Developers
- LLM01:2025 Prompt Injection (injection directe vs indirecte ; instructions cachées dans un contenu externe ; exemple d'exfiltration de données) — OWASP Gen AI Security Project
- EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System (CVE-2025-32711, Microsoft 365 Copilot) — arXiv
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt