Il propose un assistant conversationnel capable d’interagir de manière automatisée, contextualisée et continue avec les utilisateurs après avoir accédé à l’entièreté de son système.
Toutefois, derrière ces fonctionnalités prometteuses se cachent potentiellement des vulnérabilités en matière de protection des données personnelles, de transparence des traitements, de sécurité des informations échangées et de conformité réglementaire…
MoltBot : une IA ultra-connecté qui repousse les limites
MoltBot est un assistant numérique centralisé, conçu pour interagir avec l’ensemble de l’écosystème numérique de l’utilisateur.
Pour ce faire, il peut accéder à différents éléments du système d’information, qu’il s’agisse des comptes en ligne, des navigateurs, des boîtes mail ou d’autres outils numériques du quotidien.
Et, petite cerise sur le gâteau, MoltBot peut interagir avec d’autres dispositifs d’intelligence artificielle, tels que des modèles conversationnels de type ChatGPT, et exécuter des actions concrètes à la demande de l’utilisateur.
Une simple sollicitation via une messagerie comme WhatsApp peut ainsi suffire pour lancer un achat en ligne, trier des courriels, rechercher une information ou automatiser une tâche…
C’est cette fluidité d’usage, fondée sur la convergence des canaux et des outils, qui a fait de MoltBot un assistant très (trop ?) rapidement populaire.
Une IA à double tranchant
Vulnérabilités techniques : surface d’attaque élargie et risques de compromission des comptes
Le premier risque majeur lié à MoltBot réside dans l’étendue même des accès qui lui sont accordés. En centralisant l’accès à l’ensemble du système de l’utilisateur MoltBot devient un point de concentration critique.
Par exemple, l’accès au navigateur lui permet de se connecter au gestionnaire de mot de passe intégré, à tous les comptes prélogués, etc. Il peut par exemple se connecter à votre compte Amazon.
En conséquence, en cas de faille de sécurité, de compromission du compte ou d’exploitation d’une vulnérabilité technique, l’impact serait démultiplié : un attaquant pourrait potentiellement accéder à une grande partie de la vie numérique de l’utilisateur, voire en prendre le contrôle.
Moltbot devient alors la porte d’entrée à tout votre système et accroît mécaniquement la surface d’attaque posant, du même coup, des enjeux importants en matière d’authentification forte, de gestion des droits et de cloisonnement des accès.
Vulnérabilités juridiques : RGPD, responsabilité du responsable de traitement et détournement de finalité
Au-delà des risques purement techniques, un responsable de traitement ou sous-traitant de données qui a recours à ce type de solution pourrait constituer une vulnérabilité majeure pour la sécurité des données[1] et les traitements effectués dans le cadre de ses relations contractuelles.
En outre, le caractère « transparent » et automatisé de MoltBot peut renforcer un risque moins visible mais tout aussi important : la dilution du contrôle humain. Plus l’assistant agit de manière autonome, en arrière-plan, plus il devient difficile pour l’utilisateur ou l’entreprise de garder une vision claire des actions réalisées et des données mobilisées et augmentant notamment le risque de détournement de finalité.
Cette opacité[2] fonctionnelle est problématique tant sur le plan de la cybersécurité que sur celui du RGPD, qui repose sur des principes de maîtrise, de responsabilité et de documentation des traitements. Sans garde-fous rigoureux, MoltBot pourrait être une bombe à retardement dans une entreprise.
Shadow IA et gouvernance interne : un risque stratégique pour la conformité
Un facteur aggravant doit également être pris en compte : la forte popularité de ce type d’outil, et de MoltBot en particulier, auprès des développeurs.
Son adoption rapide dans les environnements techniques, souvent à l’initiative des équipes elles-mêmes, peut conduire à des usages non encadrés, voire invisibles pour les directions juridiques, sécurité ou conformité (« Shadow IA »).
Or, lorsqu’un tel assistant bénéficie d’autorisations étendues sur des systèmes, des dépôts de code, des comptes ou des environnements de production.
Il peut devenir une porte d’entrée indirecte vers des données stratégiques ou personnelles, sans que l’organisation n’en ait pleinement conscience.
La problématique du Shadow IA commence à être connue mais les conséquences d’utilisation cachée d’une IA comme Moltbot pourraient être beaucoup plus dramatiques pour une entreprise ou un utilisateur que celles d’autres IA comme ChatGPT ou Mistral…
Quels garde-fous pour encadrer MoltBot en entreprise ?
Afin de limiter les risques techniques et juridiques de Moltbot en entreprise, différentes mesures peuvent être envisagées :
| Mesure | Objectif / Description |
| Effectuer des tests | Avant le déploiement dans l’entreprise ou au sein des équipes opérationnelles, tester le dispositif dans un environnement sécurisé. |
| Encadrement contractuel avec le prestataire | Définir clairement les modalités de traitement liés à Moltbot dans le cadre de la description du traitement[3]. |
| Mesures organisationnelles internes | Mettre en place des procédures pour encadrer l’usage de Moltbot, limiter l’accès, former le personnel (Charte, PSSI, politique de gestion des incidents, politique d’habilitation, PCA, etc)[4]. |
| Transparence vis-à-vis des personnes concernées | Informer clairement les personnes concernées sur le dispositif, les données collectées, les finalités et leurs droits[5]. |
| Analyse d’impact sur la protection des données (AIPD)[6] | Évaluer les risques pour la vie privée, identifier les mesures juridiques, techniques et organisationnelles pour les réduire, et documenter ces démarches. |
MoltBot illustre donc parfaitement la nouvelle génération d’assistants intelligents : puissants, transverses et capables de transformer en profondeur les usages numériques, tant personnels que professionnels.
Toutefois, cette promesse d’efficacité et d’automatisation ne saurait occulter la réalité des risques induits par un accès aussi étendu aux systèmes, aux données et aux processus. Plus l’outil est central, plus ses failles potentielles deviennent systémiques. A méditer…
***
Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données et de l’intelligence artificielle. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 32 du RGPD
[2] Article 12 à 14 du RGPD
[3] Article 28 du RGPD
[4] Article 4 du RIA et 32 du RGPD
[5] Articles 12 à 14 du RGPD
[6] Articles 35 et 36 du RGPD