Les navigateurs dopés à l’IA créent de nouvelles vulnérabilités

Trois ans après le lancement commercial de ChatGPT d’OpenAI, l’IA générative a modifié en profondeur notre façon de rechercher de l’information en ligne. Selon le dernier baromètre Heroiks Pulse via Toluna Start pour Peak Ace, 34 % des Français utilisent désormais l’intelligence artificielle pour leurs recherches, soit une progression de six points en quelques mois. Le phénomène est encore plus marqué chez les 18-24 ans, plus de 60 % d’entre eux affirmant avoir modifié leurs pratiques.

Plutôt que de parcourir une liste de liens référencés par un moteur de recherche, un nombre croissant d’utilisateurs s’en remet à ChatGPT, Perplexity ou Google Gemini pour les questionner en langage naturel et obtenir immédiatement une réponse sous forme de synthèse. Pour faciliter encore l’usage de leurs grands modèles de langage (LLM), ces éditeurs spécialisés proposent désormais leurs propres navigateurs web. 

Pour les plus connus, on peut citer Comet, lancé début juillet par Perplexity, et ChatGPT Atlas, par OpenAI fin octobre. D’autres éditeurs comme Dia, Genspark ou Opera (Neon) proposent également ce type de browsers IA tandis que des navigateurs établis comme Microsoft Edge et Chrome de Google intègrent leur IA maison, en l’occurrence Copilot et Gemini. 

Ces nouveaux navigateurs, à l’interface minimaliste, comprennent nativement un assistant intelligent qui va interagir avec les pages web consultées. Celui-ci va résumer un article, remplir un formulaire en ligne, réaliser des transactions allant jusqu’à procéder au paiement en ligne.

Cette autonomie laissée à ces nouveaux outils pour naviguer librement sur internet et réaliser une suite de tâches sans supervision humaine ne va pas sans exposer les utilisateurs à de nouvelles vulnérabilités. Pour fonctionner et créer « une mémoire personnelle » comme l’appelle OpenAI, les navigateurs doivent accéder à des données sensibles comme l’historique de navigation, une adresse, des identifiants, la saisie automatique de mots de passe et de moyens de paiement, mais aussi à des informations provenant de services tiers comme une messagerie ou un calendrier des suites collaboratives Google Workspace ou Microsoft 365.

« Biais d’oubli » et injection de prompt 

Lors des premières sessions, le navigateur soumet des demandes d’autorisation d’accès à l’utilisateur et ce dernier peut, depuis les paramètres, ajuster plus ou moins finement les règles de confidentialité et de sécurité. Le risque est toutefois grand que des données personnelles soient partagées à son insu. 

Expert en cybersécurité chez ESET France, Benoît Grunemwald évoque « un biais d’oubli ». « Contrairement aux applications de type chatbot où l’utilisateur sait explicitement qu’il interagit avec une IA et partage ses données, ces navigateurs fonctionnent selon un modèle similaire aux environnements intégrés de type Microsoft Copilot, dans lesquels pratiquement toutes les actions sont scrutées en arrière-plan par l’intelligence artificielle. Il perd de vue que l’IA écoute et enregistre constamment ce qu’il fait ».

En termes de menaces, cette nouvelle génération de navigateurs est vulnérable aux injections de prompts. Un lien malveillant dissimulé dans un email, un fichier ou une page web déclenche une série d’instructions cachées. « Des pages web peuvent être spécialement conçues pour interagir avec le navigateur de façon invisible pour l’utilisateur, par exemple via du contenu affiché blanc sur blanc ou masqué dans des balises HTML », poursuit Benoît Grunemwald.

Une faille critique de ce type a été documentée sous le terme de « CometJacking ». Comme son nom l’indique, cette attaque vise spécifiquement Comet de Perplexity en intégrant des invites malveillantes dans un lien apparemment anodin afin de siphonner des données sensibles. Les chercheurs de Radware ont, eux, mis en avant une menace spécifique à l’environnement d’OpenAI et qui s’applique à Atlas. ShadowLeak soulève le pouvoir caché des agents IA qui facilitent la vie des utilisateurs en agissant en leur nom. Une autonomie qui peut être détournée. 

Attaque « zéro clic » pour détourner les agents autonomes

Dans le cas présent, cette attaque dite « zéro clic » a lieu sans action de la part de l’utilisateur. L’exfiltration des données « se fait directement depuis l’infrastructure cloud d’OpenAI, la rendant invisible aux défenses locales ou d’entreprise », note Radware. Cette IA agentique donne accès à des informations qui étaient jusqu’alors hébergées dans des applications traditionnelles, pourvues de mécanismes de protection propres. « Les notions classiques de contrôle d’accès et d’accès restreint risquent de progressivement s’effacer », alerte Karim Hamia, SE Manager chez Check Point.

La menace ne se limite pas à l’exploitation des données. Les agents IA peuvent également réaliser des transactions comme, par exemple, planifier de bout en bout un séjour pour les vacances en échangeant avec différentes centrales de réservation. « Transposé dans un contexte malveillant, un attaquant pourrait détourner ces capacités pour effectuer des appels vers des numéros surtaxés », envisage Benoît Grunemwald. À ses yeux, cette autonomie signifie qu’une faille « zero day » sur ce type de navigateur aurait des conséquences potentiellement plus importantes qu’une vulnérabilité équivalente sur un navigateur classique.

La menace est à prendre d’autant plus au sérieux que les navigateurs IA, de conception récente, n’embarquent pas le même niveau de sécurité que leurs aînés. Selon des tests pratiqués par LayerX Security, ils affichent des taux de protection contre le phishing dramatiquement inférieurs à ceux des navigateurs traditionnels. Comet et Genspark parviennent à un taux de blocage de 7 % contre 47 % pour Google Chrome et 54 % pour Microsoft Edge. En revanche, Benoît Grunemwald note que les navigateurs IA présentent l’avantage de ne pas intégrer d’extensions qui constituent « un vecteur majeur d’attaques ciblées, de fausses publicités, de tentatives de phishing et de vols de d’informations d’identification ».

De son côté, Karim Hamia pointe du doigt un risque de désinformation. « Contrairement à des moteurs de recherche qui mettent en avant les sites les mieux référencés, les navigateurs IA fournissent des résultats consolidés sans qu’il soit toujours possible de vérifier la pertinence des sources. Dans le cadre de campagnes de désinformation, des organisations étatiques peuvent créer massivement de faux sites présentés comme fiables. »

Encadrer l’expérimentation, placer les navigateurs sous contrôle

Que faire face à ces risques ? Si le recours en entreprise des navigateurs IA reste pour l’heure marginal selon nos deux experts, le premier réflexe consiste tout simplement à interdire leur installation et leur exécution. Entre les solutions d’EDR (Endpoint detection and response) et de UEM (Unified Endpoint Management), les outils permettant de bloquer le déploiement d’applications non approuvées sur les postes de travail ne manquent pas. Il reste toutefois un risque de contournement de la politique de cybersécurité. Un collaborateur peut installer Comet ou ChatGPT Atlas sur son terminal personnel qui sera, lui, connecté au système d’information de l’entreprise.

Pour lutter contre ce phénomène de shadow AI et ne pas entraver l’innovation, une organisation se doit d’encadrer l’expérimentation de ces nouveaux outils d’IA. Benoît Grunemwald conseille d’avoir au préalable une réflexion stratégique sur les objectifs recherchés, d’évaluer des solutions alternatives et de sélectionner rigoureusement les testeurs. Sur le plan technique, il est possible, sur le principe du bac à sable, d’exécuter l’application dans un environnement isolé et sécurisé, sans accès aux ressources critiques du SI.

De son côté, Karim Hamia recommande d’appliquer l’approche « zero trust », « en limitant l’accès aux données sensibles et de traiter les agents autonomes comme des utilisateurs en leur accordant des droits d’accès clairement définis. » Prêchant pour sa paroisse, il conseille ensuite de s’appuyer sur une plateforme comme celle de Check Point pour superviser et mettre sous contrôle les navigateurs IA. « L’objectif est de bloquer l’injection de prompts malveillants, en analysant le contenu sensible et en distinguant les prompts personnels des prompts professionnels, et de masquer des éléments critiques tels les numéros de cartes bancaires ».

Sensibiliser les utilisateurs, prévenir le risque de perte de compétences

En parallèle à ce système de défense, il convient, sur le plan organisationnel, de sensibiliser les utilisateurs à ces nouveaux risques. « Il s’agit de faire comprendre que les fuites d’informations générées par ces nouveaux navigateurs peuvent avoir des conséquences au moins aussi graves qu’une attaque de phishing, même si la menace est moins palpable », estime Karim Hamia.

Au-delà des menaces cyber, Benoît Grunemwald pointe, pour sa part, des risques plus diffus liés à l’utilisation de ces outils d’IA avancée. Au-delà de l’impact social qu’entraîne l’automatisation d’un nombre croissant de processus se pose la question de la perte de compétences. « Lorsqu’un collaborateur confie des tâches complexes à un navigateur IA, agissant comme une boîte noire, l’entreprise risque d’accumuler une forte dépendance envers ce système sans pouvoir capitaliser sur la connaissance métier. »

Selon lui, la « documentabilité » et la reproductibilité du travail effectué deviennent problématiques. Comment une autre personne peut-elle prendre la suite en cas de congé ou de départ du collaborateur ? Comment l’entreprise s’assure-t-elle que ce savoir-faire reste documenté et le processus traçable ? Dans les professions réglementées, les décisions prises doivent notamment pouvoir être explicitées et auditables.