Les navigateurs web basés sur l’IA (aussi appelés agentic browsers) promettent d’effectuer des tâches complexes pour l’utilisateur (achat en ligne, gestion de mail, réservations…) sans intervention humaine. Comet, développé par Perplexity, en est un exemple phare. L’utilisateur peut simplement demander à l’IA intégrée de « résumer cette page », « acheter un billet d’avion » ou « vérifier mes e‑mails », et Comet va parcourir le Web et interagir avec les sites comme s’il naviguait lui-même. Cette automatisation puissante ouvre la voie à de nouveaux usages... mais aussi à de nouveaux risques. Des chercheurs de Brave (Navigateur Brave) et de l’entreprise Guardio ont en effet découvert que Comet traitait tout le contenu d’une page Web comme faisant partie de la requête de l’utilisateur. Autrement dit, il ne fait pas la distinction entre ce que l’utilisateur lui demande et le texte éventuellement caché sur la page. Un attaquant peut donc « cacher » des commandes malveillantes dans n’importe quel site Web (son propre site ou même des commentaires d’autres utilisateurs), puis tromper Comet pour qu’il les exécute à la place d’un vrai utilisateur.
Le mois dernier, Perplexity a annoncé la disponibilité de son navigateur Comet. Son application est basée sur Chromium, le même moteur que Chrome, mais qui se distingue par son intégration profonde avec l'intelligence artificielle de Perplexity. Contrairement aux navigateurs traditionnels, il n'est pas qu'un simple outil pour afficher des pages web ; il agit comme un assistant proactif et un partenaire qui interagit avec le contenu pour le compte de l'utilisateur. Ses fonctionnalités clés incluent une recherche unifiée capable d'analyser le contexte instantanément, la capacité de résumer des pages web, de gérer des calendriers, de suivre des emails, de faire du shopping en ligne, et d'interagir avec des services tiers.
Envoyé par Brave
Ce type de navigation agentique est incroyablement puissant, mais il présente également des défis importants en matière de sécurité et de confidentialité. À mesure que les utilisateurs se familiarisent avec les navigateurs IA et commencent à leur confier des données sensibles lors de sessions connectées (telles que des sites bancaires, médicaux et autres sites critiques), les risques se multiplient. Que se passerait-il si le modèle hallucinait et effectuait des actions que vous n'avez pas demandées ? Ou pire encore, que se passerait-il si un site web d'apparence inoffensive ou un commentaire laissé sur un réseau social pouvait voler vos identifiants de connexion ou d'autres données sensibles en ajoutant des instructions invisibles à l'assistant IA ?
Des chercheurs de Brave ont identifié une faille dans Comet : le logiciel est vulnérable à une injection de prompt indirecte. Concrètement, lorsqu’un utilisateur clique sur « résumer cette page » ou pose une question à l’IA, Comet envoie le texte de la page au modèle de langage sans filtre. Il ne « sait » pas quelles parties sont la demande de l’utilisateur et quelles parties proviennent du site. Ainsi, un attaquant peut intégrer du texte malveillant invisible ou non sollicité dans le code HTML d’une page (par exemple en cachant du texte en blanc sur fond blanc, dans des commentaires, ou via des éléments CSS invisibles). Lorsque l’utilisateur demande à l’IA de traiter la page, Comet lit et exécute ces instructions cachées comme s’il s’agissait d’une vraie requête.
La chaîne d’attaques typique se déroule ainsi :
- Préparation de l’attaque : l’attaquant crée ou compromet une page Web. Il y cache des instructions (textes explicites ou balises invisibles) qui ordonnent à l’IA de réaliser une action malveillante.
- Déclenchement : un utilisateur visite cette page et demande à Comet de la résumer ou d’en extraire des informations (par exemple en cliquant sur « Résumer »).
- Injection : en analysant la page, Comet lit à la fois le contenu légitime et les instructions cachées, qu’il prend indistinctement pour des consignes de l’utilisateur.
- Exécution malveillante : l’IA exécute alors ces instructions et peut, par exemple, naviguer sur un site bancaire en étant déjà connecté sous l’identité de l’utilisateur, extraire des identifiants ou déclencher des actions malicieuses (paiements, virements, exfiltration de données, etc.)
Par exemple, Brave a démontré une preuve de concept où Comet, soumis à un texte caché dans un commentaire Reddit, a été ordonné d’aller chercher l’adresse e-mail de l’utilisateur sur Perplexity, de récupérer un code de vérification (OTP) en se connectant à Gmail, puis de renvoyer le tout à l’attaquant. En quelques clics de souris invisibles, l’attaquant obtenait l’accès au compte Perplexity de la victime. L’étude souligne que les protections classiques du Web (même origine, CORS, sandboxing) ne s’appliquent plus : l’agent IA agit avec tous les privilèges de l’utilisateur, sur tous les sites où il est connecté. Un simple extrait de texte sur un site tiers peut donc, en théorie, permettre à Comet d’accéder à vos comptes bancaires, de lever des fonds ou de voler des informations sensibles
Attaques pratiques : faux achats et phishing
Des chercheurs en cybersécurité de Guardio Labs ont mis Comet à l’épreuve avec plusieurs scénarios réels de fraude. Les résultats sont inquiétants : Comet peut être trompé pour interagir avec des sites de phishing ou des boutiques factices. Par exemple, sur un faux site Web Walmart généré par IA (créé avec le service Lovable), Comet a passé une commande comme demandé. Sans hésiter, il a ajouté une montre Apple au panier, rempli automatiquement les champs d’adresse et de carte bancaire de l’utilisateur connecté, et finalisé l’achat sans demander de confirmation humaine.
Envoyé par Guardio Labs
Il est important de noter que nous avons effectué ce test à plusieurs reprises. Parfois, Comet a refusé et a détecté quelque chose de suspect. Dans d'autres cas, il s'est interrompu et a demandé à l'utilisateur de terminer le paiement manuellement. Cependant, dans certains cas, il est allé « jusqu'au bout » et a transmis les informations personnelles et bancaires directement à l'escroc sur un site marchand manifestement faux qui n'a pris que 10 secondes à mettre en place.
Et lorsque la sécurité dépend du hasard, ce n'est pas de la sécurité.
Et lorsque la sécurité dépend du hasard, ce n'est pas de la sécurité.
Gérer les e-mails de phishing provenant de votre « banque »
Dans un autre test, Comet a interprété un faux e-mail de Wells Fargo comme légitime : il a cliqué sur le lien de phishing qu’il contenait, ouvert une fausse page de connexion bancaire, et même invité l’utilisateur à saisir ses identifiants. L’utilisateur ne voyait pas qu’il s’agissait d’un leurre – Comet avait géré la transaction de bout en bout.
Voici ce qu'ont indiqué les chercheurs à ce propos :
« Une autre fonctionnalité phare des navigateurs IA est la gestion de votre boîte de réception. Ils peuvent analyser les nouveaux messages, marquer les tâches à accomplir et même s'en occuper à votre place. Nous avons donc testé la façon dont Comet gérerait l'un des pièges les plus anciens sur Internet : un e-mail de phishing provenant de votre "banque" :
« Tout ce que nous avons fait, c'est simuler un simple e-mail provenant d'une nouvelle adresse ProtonMail (il est donc clair qu'il ne provient pas d'une banque) se faisant passer pour un message d'un gestionnaire d'investissement de Wells Fargo. À l'intérieur se trouvait un lien vers une véritable page de phishing, active depuis plusieurs jours et toujours non signalée par Google Safe Browsing.
« Lorsque Comet a reçu l'e-mail, il l'a marqué avec assurance comme une tâche à effectuer pour la banque et a cliqué sur le lien sans aucune vérification. Il n'y a eu aucune vérification de l'URL, aucun avertissement avant la navigation, juste un accès direct à la page de l'attaquant. Une fois la fausse page de connexion Wells Fargo chargée, Comet l'a traitée comme légitime. Il a invité l'utilisateur à saisir ses identifiants, l'aidant même à remplir le formulaire.
« Le résultat : une chaîne de confiance parfaite qui a mal tourné. En gérant l'ensemble de l'interaction, de l'e-mail au site web, Comet a en quelque sorte cautionné la page de phishing. L'utilisateur n'a jamais vu l'adresse suspecte de l'expéditeur, n'a jamais survolé le lien et n'a jamais eu l'occasion de s'interroger sur le domaine. Au lieu de cela, il a été redirigé directement vers ce qui semblait être une page de connexion légitime de Wells Fargo, et comme cela provenait de son IA de confiance, il s'est senti en sécurité.
« Ces deux cas prouvent que même les astuces les plus anciennes du répertoire des escrocs deviennent plus dangereuses entre les mains de l'IA Browsing. La chaîne de confiance change véritablement la donne : l'utilisateur n'interagit plus directement avec le contenu suspect, ne voit jamais les signaux d'alerte et n'a jamais l'occasion de se forger sa propre opinion ».
« PromptFix » : Injection rapide d'IA moderne
Enfin, Guardio décrit la technique dite PromptFix : l’attaquant place des commandes cachées dans un faux test CAPTCHA (invisible à l’œil humain) pour contourner les vérifications. Comet voit ces instructions cachées et clique sur un bouton « AI bypass » factice, déclenchant le téléchargement d’un malware – toujours sans que l’utilisateur ne s’en aperçoive.
Ci-dessous un extrait de leur billet :
Nous passons maintenant à tester le type de sécurité dont les navigateurs IA auront besoin pour résister à l'ère à venir de l'IA contre l'IA, une époque où les attaquants ne se soucient plus de manipuler les yeux, les émotions ou le jugement humains, mais ciblent directement l'IA en utilisant le seul langage qu'elle ne peut ignorer : les invites.
L'injection d'invites consiste à intégrer des instructions cachées dans le contenu traité par une IA, afin d'orienter ses actions d'une manière...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.