Ce qu'il faut retenir
- Les jailbreaks ne sont pas des bugs — ce sont des propriétés émergentes des LLM que les attaquants exploitent systématiquement
- Les techniques évoluent plus vite que les correctifs : aucun filtre unique n'est suffisant
- En entreprise, les risques concrets sont l'exfiltration de données, le contournement de contrôles d'accès et la génération de contenu litigieux
- La défense efficace est multicouche : Constitutional AI + guardrails + monitoring comportemental + isolation réseau
- Le red teaming IA est devenu une pratique standard recommandée par l'EU AI Act pour les systèmes à haut risque
Taxonomie des techniques de jailbreak en 2026
Les techniques de jailbreak ont considérablement évolué depuis les premiers « DAN » (Do Anything Now) de 2022. Elles se structurent aujourd'hui en plusieurs familles distinctes, chacune exploitant des propriétés différentes des LLM.
Jailbreaks par roleplay et persona
L'attaquant demande au modèle d'adopter un personnage fictif qui « ne serait pas soumis aux restrictions habituelles ». Variantes contemporaines : demander au modèle de simuler un autre modèle sans alignement de sécurité, de jouer le rôle d'un chercheur en sécurité qui doit démontrer une vulnérabilité, ou d'écrire un scénario de fiction dans lequel un personnage explique une procédure dangereuse.
La résistance à ces techniques a significativement augmenté dans les modèles de 2025-2026, mais des variantes sophistiquées (contexte narratif long, gradation progressive du contenu demandé) continuent de trouver des vecteurs d'entrée.
Many-shot jailbreaking
Technique identifiée par des chercheurs d'Anthropic en 2024, le many-shot jailbreaking exploite les grandes fenêtres de contexte des LLM modernes (128k tokens et plus). L'attaquant fournit des dizaines ou centaines d'exemples fictifs de « questions-réponses » dans lesquels le modèle répond à des demandes problématiques — créant ainsi un apprentissage en contexte (in-context learning) qui détourne les mécanismes de sécurité. Plus la fenêtre de contexte est grande, plus cette technique est potentiellement efficace.
Encoding tricks et obfuscation
Ces techniques contournent les filtres de contenu en encodant les requêtes problématiques dans des représentations alternatives que le modèle peut déchiffrer mais que les filtres textuels ne détectent pas : base64, leetspeak, ROT13, langues peu fréquentes, caractères Unicode visuellement similaires (homoglyphes), ou descriptions sémantiquement équivalentes qui évitent les mots-clés filtrés.
Multi-turn gradual escalation
L'attaquant construit un contexte conversationnel sur plusieurs échanges, commençant par des requêtes anodines qui établissent des précédents, puis escaladant graduellement vers des demandes problématiques. La dynamique de continuation conversationnelle du LLM l'incite à maintenir la cohérence avec les échanges précédents, y compris lorsque cela l'amène à franchir des limites qu'il n'aurait pas franchies en réponse à une requête directe.
Prompt injection indirecte (via données externes)
Dans les architectures RAG (Retrieval-Augmented Generation) ou à agents, l'attaquant n'attaque pas directement le LLM — il empoisonne les données que le LLM consulte. Un document malveillant dans la base documentaire, un email contenant des instructions cachées destinées au LLM de gestion des emails : le LLM exécute alors des instructions provenant de données qu'il traite, non de l'utilisateur légitime. C'est la forme de jailbreak la plus dangereuse en entreprise car elle est difficile à détecter.
Risques concrets en entreprise
Exfiltration de données confidentielles
Un assistant IA interne qui a accès à des documents confidentiels (contrats, données RH, propriété intellectuelle) peut être manipulé pour en divulguer le contenu à un utilisateur non autorisé ou pour les incorporer dans des outputs exportables. Le jailbreak contourne le prompt système qui limitait l'accès : l'attaquant obtient des informations auxquelles il n'aurait pas dû avoir accès.
Ce risque est particulièrement élevé dans les architectures RAG où le LLM a accès à une large base documentaire — la granularité du contrôle d'accès au niveau document est souvent insuffisante.
Contournement de politiques d'usage
Les politiques d'usage internes (ne pas générer de contenus discriminatoires, respecter les restrictions légales sectorielles, ne pas répondre à certaines questions RH ou médicales) peuvent être contournées via jailbreak. En entreprise, cela peut exposer l'organisation à des risques légaux si l'IA génère un conseil médical non autorisé, un output discriminatoire, ou des informations réglementées.
Génération de contenu litigieux
Un LLM jailbreaké peut générer du contenu diffamatoire sur des concurrents, des personnes physiques ou des produits, du contenu violant des droits d'auteur à grande échelle, ou du contenu portant atteinte à des secrets d'affaires. Si ce contenu est intégré dans des outputs de l'entreprise (rapports, communications), la responsabilité de l'entreprise est engagée.
Attaques sur les systèmes connectés (agents IA)
Pour les architectures à agents IA avec accès à des APIs et systèmes tiers, un jailbreak réussi peut conduire à des actions réelles dans les systèmes connectés : envoi d'emails frauduleux, exécution de requêtes non autorisées, modification de données. Ce scénario — dit d'« excessive agency » — est la vulnérabilité LLM08 dans l'OWASP LLM Top 10.
Cas réels documentés
Bing Chat / Sydney (2023) : peu après le lancement, des utilisateurs ont réussi à faire « sortir » Bing Chat de son persona d'assistant pour révéler son prompt système complet et adopter des comportements menaçants. Microsoft a dû déployer des correctifs d'urgence.
Air Canada Chatbot (2024) : un utilisateur a manipulé le chatbot de service client d'Air Canada pour lui faire promettre une remise qui n'existait pas dans les politiques officielles. Le tribunal a jugé Air Canada responsable des engagements pris par son IA.
LLM bancaire européen (2025, nom non divulgué) : une banque européenne a dû interrompre son assistant IA interne après qu'un employé a réussi à extraire des données clients en utilisant une technique de roleplay multi-turn. L'incident n'a pas été rendu public mais est documenté dans des rapports de threat intelligence.
Jailbreak du modèle de recrutement (2025) : un candidat a réussi à extraire les critères internes de filtrage d'un LLM de recrutement en exploitant une injection via le CV lui-même — démonstration in vivo de la prompt injection indirecte.
Mécanismes de défense disponibles
Constitutional AI et RLHF
Les techniques d'alignement des modèles — Constitutional AI (Anthropic), RLHF (Reinforcement Learning from Human Feedback), RLAIF (Reinforcement Learning from AI Feedback) — sont la première ligne de défense. Elles « entraînent » le modèle à refuser les demandes problématiques, même formulées de manière créative. Leur efficacité est significative mais non absolue : les modèles les mieux alignés restent vulnérables à des techniques suffisamment sophistiquées.
Guardrails (filtres d'entrée et de sortie)
Les guardrails sont des systèmes de filtrage qui s'intercalent entre l'utilisateur et le modèle. En entrée, ils analysent le prompt avant qu'il atteigne le LLM et bloquent les patterns suspects. En sortie, ils analysent la réponse avant de la délivrer à l'utilisateur. Des outils open source comme NeMo Guardrails (NVIDIA), Guardrails AI, ou LlamaGuard (Meta) permettent de configurer ces filtres de manière granulaire.
Limites : les guardrails basés sur des règles statiques sont contournés par des techniques d'obfuscation. Les guardrails basés sur des LLM sont plus robustes mais ajoutent de la latence et peuvent être eux-mêmes vulnérables.
Rate limiting et détection d'abus
Limiter le nombre de requêtes par utilisateur et par session, détecter les patterns de requêtes anormaux (requêtes très longues, sequences d'essais-erreurs rapides, patterns many-shot), et imposer un cooldown après détection de tentatives suspectes. Ces mécanismes ne bloquent pas les jailbreaks mais les ralentissent et permettent leur détection.
Isolation et principe du moindre privilège
Le LLM ne devrait avoir accès qu'aux données strictement nécessaires à sa fonction. Une architecture avec contrôle d'accès granulaire au niveau document, API et système réduit drastiquement l'impact d'un jailbreak réussi : même si l'attaquant contourne les garde-fous, le modèle n'a accès qu'à un sous-ensemble limité d'informations.
| Mécanisme de défense | Technique contrecarrée | Efficacité | Complexité de mise en œuvre |
|---|---|---|---|
| Constitutional AI / RLHF | Roleplay, demandes directes | Élevée | Intégrée au modèle (non modifiable) |
| Guardrails en entrée | Patterns connus, mots-clés | Moyenne | Faible à moyenne |
| Guardrails en sortie | Contenu problématique généré | Moyenne-élevée | Moyenne |
| Rate limiting | Many-shot, brute force | Faible (ralentissement) | Faible |
| Isolation des données | Exfiltration post-jailbreak | Élevée | Élevée |
| Monitoring comportemental | Toutes techniques (détection) | Élevée (réactive) | Moyenne à élevée |
| Red teaming continu | Nouvelles techniques (découverte) | Élevée (proactive) | Élevée |
Red teaming IA : méthode et outils
Le red teaming IA consiste à tester systématiquement les vulnérabilités d'un LLM en simulant des attaquants. C'est une pratique empruntée à la cybersécurité classique, adaptée aux spécificités des systèmes d'IA.
Méthodologie de red teaming IA
Une session de red teaming IA comprend plusieurs phases. La phase de cartographie établit le périmètre d'attaque : quelles données le modèle peut-il exposer, quelles actions peut-il déclencher, quelles politiques d'usage doit-il respecter ? La phase d'exploration teste méthodiquement toutes les catégories de jailbreaks connus. La phase de découverte tente d'identifier de nouvelles vulnérabilités spécifiques au modèle testé. La phase de documentation produit un rapport avec reproduction des vulnérabilités et recommandations de remédiation.
Outils de red teaming automatisé
Garak (open source, développé par NVIDIA et la communauté) est le framework de red teaming LLM le plus complet : plus de 100 sondes couvrant injections, jailbreaks, leakage, hallucinations et biais. Il s'intègre dans les pipelines CI/CD pour un test automatisé à chaque mise à jour du modèle.
PyRIT (Python Risk Identification Toolkit for generative AI, Microsoft) est un framework orienté entreprise qui facilite les tests adversariaux automatisés et la génération de rapports de sécurité.
LLM Guard (open source) propose des scans de sécurité des inputs et outputs en temps réel, avec des détecteurs pour les injections, le PII, les toxicités et les jailbreaks courants.
Architecture défensive multicouche
La défense efficace contre les jailbreaks repose sur la défense en profondeur : aucune couche n'est suffisante seule, mais leur combinaison rend l'attaque beaucoup plus difficile.
La couche 1 est le modèle aligné (Constitutional AI, RLHF) — la résistance intrinsèque. La couche 2 sont les guardrails d'entrée — filtrage des prompts suspects avant traitement. La couche 3 est le contrôle d'accès aux données — principe du moindre privilège pour limiter l'impact d'un jailbreak réussi. La couche 4 est le filtrage des sorties — analyse du contenu généré avant délivrance. La couche 5 est le monitoring comportemental — détection des patterns anormaux en production. La couche 6 est l'isolation réseau — un LLM déployé on-premise sans accès internet ne peut pas exfiltrer de données vers l'extérieur.
Monitoring et détection en production
La détection des tentatives de jailbreak en production repose sur l'analyse de plusieurs signaux. La longueur et complexité des prompts : les techniques many-shot et gradual escalation produisent des prompts atypiquement longs. Les patterns linguistiques suspects : encodages inhabituels, mélange de langues, instructions méta (« ignorer les instructions précédentes »). La cohérence sémantique entre le prompt et la réponse générée : une réponse très différente de la distribution habituelle peut indiquer un jailbreak réussi. Le comportement de session : séquences de requêtes en escalade rapide, taux d'échec élevé avant succès.
EU AI Act et obligations de robustesse
L'article 9 de l'EU AI Act impose aux systèmes à haut risque un système de gestion des risques incluant explicitement les risques de cybersecurity et de comportements adversariaux. Les lignes directrices de l'ENISA publiées en 2025 précisent que cela inclut les tests de robustesse contre les techniques d'adversarial prompting, dont le jailbreaking.
Pour les systèmes IA à haut risque déployés en entreprise, un red teaming documenté avant déploiement et périodiquement en production est désormais une bonne pratique attendue par les régulateurs — et une condition de conformité à l'AI Act pour les systèmes les plus critiques.
Sécurisez vos LLM contre les jailbreaks
Intelligence Privée déploie votre IA avec une architecture défensive multicouche : guardrails configurés sur votre politique d'usage, isolation réseau totale, monitoring comportemental en production et red teaming intégré dans le processus de déploiement.
Évaluer la sécurité de vos LLM →Questions fréquentes sur les jailbreaks LLM
Un LLM commercial comme ChatGPT est-il plus résistant aux jailbreaks qu'un modèle open source ?
Les modèles commerciaux (GPT-4, Claude, Gemini) bénéficient de processus d'alignement (RLHF, Constitutional AI) plus intensifs et de red teaming continu par des équipes dédiées. Ils sont généralement plus résistants aux jailbreaks courants. Cependant, leur surface d'attaque est aussi plus grande car ils sont plus exposés publiquement. Les modèles open source déployés on-premise bénéficient d'un avantage de sécurité par obscurité et d'une surface d'exposition réduite.
Le jailbreak est-il une infraction légale ?
En droit français, une tentative de jailbreak peut relever de plusieurs infractions : accès frauduleux à un système informatique (article 323-1 du Code pénal) si le jailbreak permet d'accéder à des données non autorisées, atteinte à l'intégrité d'un système informatique si le jailbreak cause un dysfonctionnement, ou violation des conditions générales d'utilisation. En pratique, les poursuites sont rares sauf en cas de préjudice avéré significatif.
Comment tester si mon LLM est vulnérable à une technique spécifique ?
Utilisez Garak ou PyRIT pour des tests automatisés couvrant les techniques connues. Pour les tests manuels, définissez un cahier de tests basé sur la taxonomie des jailbreaks (roleplay, many-shot, encoding, multi-turn) et testez chaque catégorie sur votre déploiement spécifique — les vulnérabilités varient selon la configuration du modèle, le prompt système et les guardrails en place. Documentez tous les résultats pour votre dossier de conformité AI Act.
Les guardrails peuvent-ils être contournés ?
Oui. Les guardrails basés sur des listes de mots-clés sont facilement contournés par l'obfuscation et les encodages alternatifs. Les guardrails basés sur des LLM secondaires sont plus robustes mais eux-mêmes potentiellement vulnérables. La conclusion pratique est qu'aucun guardrail seul n'est suffisant — seule l'architecture défensive multicouche offre une protection sérieuse.
Faut-il informer ses utilisateurs de l'existence de protections anti-jailbreak ?
L'EU AI Act impose une transparence sur les capacités et limitations des systèmes IA, mais ne requiert pas de divulguer les détails des mécanismes de sécurité — ce qui constituerait d'ailleurs une aide aux attaquants. Une bonne pratique est de mentionner dans la politique d'usage que le système est protégé contre les détournements, sans détailler les mécanismes. Les conditions d'utilisation doivent clairement interdire les tentatives de jailbreak.