ChatGPT peut désormais acheter à votre place : 5 risques concrets pour votre carte bancaire (et comment s’en protéger)

Photographie éditoriale représentant un smartphone sur un bureau sombre avec un hologramme de panier d'achat, symbolisant un agent IA qui achète en ligne

Le 11 juin 2026, OpenAI et Visa ont annoncé un partenariat qui fait basculer le e-commerce dans une nouvelle ère : ChatGPT peut désormais acheter à votre place, auprès de n’importe quel commerçant acceptant la carte, sans que vous ayez jamais ouvert la page du marchand. Pratique sur le papier, vertigineux dans la réalité. Car quatre jours plus tôt, le 7 juin 2026, The Guardian révélait qu’une enseigne britannique piégée par des escrocs remontait dans les réponses de ChatGPT comme boutique recommandée. Avant d’activer les achats automatisés, voici les cinq pièges concrets qui peuvent transformer votre compte bancaire en passoire, et la check-list précise pour ne rien laisser au hasard.

💡

L’essentiel en 30 secondes

  • Le tournant : Visa a intégré son réseau de paiement au cœur de ChatGPT, permettant à l’IA d’acheter pour le compte de l’utilisateur dès le 11 juin 2026.
  • Le précédent qui inquiète : Le 7 juin 2026, des boutiques frauduleuses ont été promues dans les réponses de ChatGPT (cas Russell & Bromley), capturant des coordonnées bancaires.
  • Le maillon faible : L’IA ne vérifie pas la légitimité d’un site. Elle agrège, recommande, et bientôt paie, sans qu’aucun humain ne relise.
  • Le réflexe d’or : N’activez jamais l’achat automatique sur votre carte principale. Créez une carte virtuelle à plafond journalier dédiée à l’agent.

Que change vraiment l’accord OpenAI et Visa du 11 juin 2026 ?

L’annonce faite à San Francisco mercredi 10 juin, officialisée le 11 juin 2026 par Visa, est d’une portée considérable. Pour la première fois, un assistant d’IA grand public ne se contente plus de recommander un produit ou de générer un lien d’achat : il finalise la transaction, de la sélection du produit au paiement par carte, sans intervention humaine.

Concrètement, voici ce qui devient possible, comme l’a détaillé Euronews le 11 juin 2026 :

  • Vous liez votre carte Visa à votre compte ChatGPT via un parcours d’enrôlement dédié.
  • Vous demandez à l’IA de trouver un objet précis, par exemple « des écouteurs sans fil à moins de 150 dollars ».
  • ChatGPT compare, sélectionne, ajoute au panier, et procède au paiement, en passant par le réseau Visa pour l’autorisation.
  • Vous recevez une notification, mais sans avoir vu la page du marchand ni validé le ticket de caisse.

Jack Forestell, directeur produits et stratégie de Visa, le reconnaît lui-même : passer de la recommandation à l’achat autonome « suppose un niveau de confiance d’un tout autre ordre » que celui accordé à un comparateur de prix classique. Le vocabulaire choisi par les deux entreprises est révélateur : on parle d’agent économique à part entière, plus d’un simple outil d’aide à la décision.

Pourquoi l’empoisonnement de LLM du 7 juin 2026 doit vous alerter ?

Quatre jours avant l’annonce OpenAI et Visa, Numerama rapportait une enquête de The Guardian et Ask Silver qui fait froid dans le dos. L’enseigne britannique Russell & Bromley, placée sous administration judiciaire en janvier 2026 puis rachetée par Next, n’a plus de site officiel indépendant. Profitant de ce vide, des escrocs ont mis en ligne deux fausses boutiques imitant l’identité visuelle de la marque, avec des URL trompeuses comme therussellbromleyofficial.

Résultat, documenté par l’enquête : lorsqu’un utilisateur demandait à ChatGPT « quels sont les sacs et portefeuilles Russell & Bromley les plus populaires », l’IA renvoyait des descriptions de produits crédibles et citait en sources les deux sites frauduleux, sans aucune mise en garde. L’utilisateur payait. L’argent partait vers un serveur contrôlé par les attaquants. Aucune intrusion technique chez OpenAI n’était nécessaire, juste un bon référencement de pages malveillantes, suffisamment pour empoisonner les résultats du modèle.

Cette affaire illustre précisément le scénario qui rend l’achat automatisé dangereux : si ChatGPT recommande déjà des boutiques clonées, que se passera-t-il quand il paiera dessus, sans étape de validation humaine ? Le garde-fou d’approbation promis par Visa n’est efficace que si l’utilisateur garde la possibilité de comparer, et donc de refuser. Ce qui suppose de garder la main sur la transaction.

Quels sont les 5 pièges concrets qui peuvent vider votre compte ?

Voici les cinq scénarios les plus crédibles, construits à partir de l’actualité cyber des dernières semaines et des mécanismes techniques révélés par OpenAI et Visa eux-mêmes.

1. La boutique clonée recommandée par l’IA

C’est le cas Russell & Bromley, transposé à l’achat. Vous demandez à ChatGPT de trouver un produit de marque. L’IA, qui s’appuie sur des sources web indexées et parfois empoisonnées, vous propose un site qui ressemble à la marque mais ne l’est pas. Sans validation humaine, l’agent paie. Vous perdez la somme, et vos coordonnées bancaires partent dans une base qui sera revendue. Ce type d’attaque est documenté pour les LLM depuis 2024 et explose en 2026, comme nous l’avions analysé dans notre article sur les arnaques utilisant l’IA.

2. Le dépassement de budget sur un simple « oui » de confirmation

Le modèle d’OpenAI Instant Checkout, lancé fin 2025 puis abandonné en mars 2026 car les commerçants refusaient les 4% de commission, a montré qu’une IA peut acheter le mauvais produit ou le bon produit au mauvais prix. Si vous cliquez trop vite sur la notification de confirmation, vous validez un achat de 380 euros au lieu des 150 euros attendus, et la marche arrière est plus compliquée qu’avec un simple clic droit sur un panier.

3. L’abonnement caché reconductible automatiquement

ChatGPT ne sait pas toujours distinguer un achat unique d’un abonnement. Si vous validez un service qui se renouvelle chaque mois sans que cela soit explicitement mentionné, l’agent paiera tous les mois sans vous prévenir, en prélevant sur la carte liée. Sans examen du détail, vous découvrez la note des mois plus tard. C’est exactement le type de frais invisibles que l’IA n’est pas encore capable d’identifier seule.

4. Le piratage du compte ChatGPT lui-même

Si un pirate prend le contrôle de votre compte OpenAI, il hérite de votre carte liée et de la capacité d’acheter. L’IA exécute les ordres sans distinction. Et comme nous le détaillions dans notre article sur les faux ChatGPT et les 92 000 attaques liées aux fausses IA en 2026, le phishing ciblant les comptes OpenAI explose. Protéger votre compte devient aussi critique que protéger votre banque en ligne.

5. L’achat impulsif amplifié par l’absence de friction

Le modèle économique d’un agent de shopping est simple : plus il achète facilement, plus il achète souvent. Les 47% d’Américains qui utilisent déjà l’IA pour au moins une tâche d’achat, selon les chiffres cités par Visa, sont aussi les plus exposés aux achats impulsifs, exactement ce que les commerçants recherchent. Le piège n’est plus seulement technique, il est comportemental.

✅ À faire avant d’activer les achats ChatGPT

  • Créer une carte bancaire virtuelle à plafond journalier (10 à 30 euros suffisent pour un test).
  • Activer les notifications de paiement en temps réel sur l’application de votre banque.
  • Exiger systématiquement l’étape d’approbation manuelle pour tout achat supérieur au plafond choisi.
  • Activer la double authentification sur votre compte OpenAI, comme on la décrit dans notre guide sur les passkeys.

❌ À ne jamais faire

  • Lier votre carte principale ou votre carte avec un découvert important.
  • Confier à l’IA le choix d’un commerçant sans vérifier manuellement l’URL finale avant validation.
  • Utiliser le même mot de passe pour OpenAI que pour votre banque en ligne.
  • Confier à l’IA des achats impliquant des données de santé, juridiques ou fiscales.

Comment configurer un agent d’achat IA sans prendre de risque ?

Voici la procédure recommandée pour tester les achats automatisés en gardant le contrôle.

  1. Créez une carte virtuelle dédiée depuis l’application de votre banque (BNP, Société Générale, Crédit Agricole, ou néobanques comme Revolut, N26, Max). Fixez un plafond journalier bas, entre 10 et 50 euros.
  2. Approvisionnez cette carte uniquement quand vous souhaitez faire un achat IA, et remettez le solde à zéro juste après. Cela transforme la carte en fusible à usage unique.
  3. Vérifiez manuellement l’URL du commerçant dans la notification de validation. Si elle contient des mots inattendus (promo, deal, shop, officiel) ou un nom de domaine qui ne correspond pas à la marque, refusez.
  4. Activez la double authentification sur votre compte OpenAI, idéalement avec une passkey ou une clé physique, pour empêcher un tiers de faire acheter votre IA à votre place.
  5. Consultez le détail de l’achat dans la confirmation avant de taper « oui ». Comparez le prix, le vendeur, et la description avec ce que vous avez demandé.
  6. Surveillez vos relevés pendant les premières semaines. En cas de débit suspect, faites opposition immédiatement et appliquez la procédure détaillée dans notre checklist post-piratage.

⚠️ L’échec d’Instant Checkout, un signal à ne pas ignorer

OpenAI avait déjà tenté l’expérience e-commerce avec Instant Checkout fin 2025. La fonctionnalité a été abandonnée en mars 2026 après seulement quelques mois, car les commerçants refusaient les 4% de commission, et les erreurs d’achat étaient trop fréquentes. Le partenariat avec Visa corrige la question des frais, mais ne corrige pas le problème de fond : l’IA fait encore des erreurs sur des cas simples. L’activer sans filet de sécurité, c’est accepter de servir de bêta-testeur grandeur nature.

Que faut-il surveiller dans les prochains mois ?

Le partenariat OpenAI et Visa n’est qu’une étape. Mastercard prépare une réponse équivalente, et selon les premières déclarations de Visa, des centaines de transactions réelles initiées par des agents IA ont déjà eu lieu sans intervention humaine. La direction prise est claire : l’IA devient un acteur économique à part entière, et votre carte bancaire son nouveau terrain de jeu.

Trois points méritent une vigilance particulière dans les semaines qui viennent :

  • L’arrivée de Mastercard, attendue avant la fin 2026, qui généralisera le modèle à un second réseau et accélérera l’adoption par les commerçants.
  • La réponse des autorités européennes, car la CNIL a déjà annoncé intégrer l’IA à son programme de contrôles 2026. Les garde-fous de Visa ne dispenseront pas les entreprises d’une conformité RGPD renforcée.
  • Les premières campagnes de phishing IA qui utiliseront la promesse « payez directement par ChatGPT » comme appât. Comme nous l’avions vu dans l’affaire des arnaques au clonage vocal IA, les fraudeurs adaptent leurs pièges à chaque nouvelle fonctionnalité.

En résumé, l’achat automatisé par IA n’est ni à diaboliser ni à adopter les yeux fermés. C’est une commodité réelle, à condition d’être entouré des bons garde-fous. Le temps que le marché se régule et que les IA apprennent à vérifier leurs propres sources, la règle d’or reste la même qu’en cybersécurité depuis toujours : ne jamais donner un pouvoir complet, sans surveillance, à un système que vous ne pouvez pas auditer. Pour les achats du quotidien, gardez la main. Pour les opérations sensibles, déléguez à l’IA uniquement les recherches, jamais le paiement final.

Questions fréquentes sur les achats automatisés par IA

L’achat automatique ChatGPT et Visa est-il déjà disponible en France ?

Le partenariat annoncé le 11 juin 2026 concerne dans un premier temps les utilisateurs américains. Le déploiement en Europe dépendra ensuite des négociations entre Visa, OpenAI, et les régulateurs européens (CNIL, Banque centrale européenne), notamment sur la conformité RGPD et DSP2. Il n’y a pas encore de date confirmée pour la France.

Peut-on annuler un achat effectué par ChatGPT après coup ?

Selon les déclarations de Jack Forestell (Visa), les règles de litige standard des paiements par carte s’appliquent. Vous pouvez contester un achat dans un délai de 60 à 120 jours selon les banques, à condition de prouver que la transaction n’était pas conforme à votre intention. C’est pourquoi vérifier le détail de chaque transaction avant validation reste la meilleure protection.

Une carte virtuelle est-elle suffisante pour sécuriser un agent IA ?

Une carte virtuelle à plafond journalier limite le montant maximal qu’un agent peut dépenser, mais elle ne protège pas contre le vol de vos coordonnées bancaires. Pour une sécurité complète, il faut combiner : carte virtuelle plafonnée, double authentification sur le compte OpenAI, surveillance active des relevés, et vérification manuelle de chaque URL marchande avant validation.

L’empoisonnement de LLM comme Russell & Bromley est-il encore possible aujourd’hui ?

Oui, c’est un problème structurel non résolu. OpenAI a confirmé l’empoisonnement dans le cas Russell & Bromley et retiré les sites frauduleux de son index, mais l’attaque ne nécessite aucune intrusion technique : il suffit à un escroc de bien référencer ses pages malveillantes. Tant que les LLM s’appuient sur le web ouvert pour répondre, ce type de risque persiste, comme l’a documenté Numerama dès février 2026 sur les boutons « Résumer avec l’IA ».

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

En savoir plus ➔

Avez-vous déjà lu ces articles ?

Portefeuille d’identité numérique européen (EUDI) en 2026 : ce que la CNIL dit vraiment sur la protection de vos données

Laisser un commentaire

Contactez la rédaction pour toute demande

Partenariat, rédaction et publication d'articles sponsorisés

NOUS CONTACTER

COPYRIGHT ALEXITAUZIN.COM 2026

Mentions légales - Politique de confidentialité - Affiliation