Phishing et exfiltration de données : le navigateur Comet AI peut se faire piéger par de simples lignes de texte cachées sur n'importe quel site web

Devenant complice involontaire des cybercriminels

Phishing, faux achats et exfiltration de données : le navigateur Comet AI peut se faire piéger par de simples lignes de texte cachées sur n'importe quel site web,
devenant complice involontaire des cybercriminels

Les navigateurs web basés sur l’IA (aussi appelés agentic browsers) promettent d’effectuer des tâches complexes pour l’utilisateur (achat en ligne, gestion de mail, réservations…) sans intervention humaine. Comet, développé par Perplexity, en est un exemple phare. L’utilisateur peut simplement demander à l’IA intégrée de « résumer cette page », « acheter un billet d’avion » ou « vérifier mes e‑mails », et Comet va parcourir le Web et interagir avec les sites comme s’il naviguait lui-même.

Cette automatisation puissante ouvre la voie à de nouveaux usages... mais aussi à de nouveaux risques. Des chercheurs de Brave (Navigateur Brave) et de l’entreprise Guardio ont en effet découvert que Comet traitait tout le contenu d’une page Web comme faisant partie de la requête de l’utilisateur. Autrement dit, il ne fait pas la distinction entre ce que l’utilisateur lui demande et le texte éventuellement caché sur la page. Un attaquant peut donc « cacher » des commandes malveillantes dans n’importe quel site Web (son propre site ou même des commentaires d’autres utilisateurs), puis tromper Comet pour qu’il les exécute à la place d’un vrai utilisateur.

Le mois dernier, Perplexity a annoncé la disponibilité de son navigateur Comet. Son application est basée sur Chromium, le même moteur que Chrome, mais qui se distingue par son intégration profonde avec l'intelligence artificielle de Perplexity. Contrairement aux navigateurs traditionnels, il n'est pas qu'un simple outil pour afficher des pages web ; il agit comme un assistant proactif et un partenaire qui interagit avec le contenu pour le compte de l'utilisateur. Ses fonctionnalités clés incluent une recherche unifiée capable d'analyser le contexte instantanément, la capacité de résumer des pages web, de gérer des calendriers, de suivre des emails, de faire du shopping en ligne, et d'interagir avec des services tiers.

La menace de l'injection d'instructions

Des chercheurs de Brave ont identifié une faille dans Comet : le logiciel est vulnérable à une injection de prompt indirecte. Concrètement, lorsqu’un utilisateur clique sur « résumer cette page » ou pose une question à l’IA, Comet envoie le texte de la page au modèle de langage sans filtre. Il ne « sait » pas quelles parties sont la demande de l’utilisateur et quelles parties proviennent du site. Ainsi, un attaquant peut intégrer du texte malveillant invisible ou non sollicité dans le code HTML d’une page (par exemple en cachant du texte en blanc sur fond blanc, dans des commentaires, ou via des éléments CSS invisibles). Lorsque l’utilisateur demande à l’IA de traiter la page, Comet lit et exécute ces instructions cachées comme s’il s’agissait d’une vraie requête.

La chaîne d’attaques typique se déroule ainsi :

• Préparation de l’attaque : l’attaquant crée ou compromet une page Web. Il y cache des instructions (textes explicites ou balises invisibles) qui ordonnent à l’IA de réaliser une action malveillante.
• Déclenchement : un utilisateur visite cette page et demande à Comet de la résumer ou d’en extraire des informations (par exemple en cliquant sur « Résumer »).
• Injection : en analysant la page, Comet lit à la fois le contenu légitime et les instructions cachées, qu’il prend indistinctement pour des consignes de l’utilisateur.
• Exécution malveillante : l’IA exécute alors ces instructions et peut, par exemple, naviguer sur un site bancaire en étant déjà connecté sous l’identité de l’utilisateur, extraire des identifiants ou déclencher des actions malicieuses (paiements, virements, exfiltration de données, etc.)

Par exemple, Brave a démontré une preuve de concept où Comet, soumis à un texte caché dans un commentaire Reddit, a été ordonné d’aller chercher l’adresse e-mail de l’utilisateur sur Perplexity, de récupérer un code de vérification (OTP) en se connectant à Gmail, puis de renvoyer le tout à l’attaquant. En quelques clics de souris invisibles, l’attaquant obtenait l’accès au compte Perplexity de la victime. L’étude souligne que les protections classiques du Web (même origine, CORS, sandboxing) ne s’appliquent plus : l’agent IA agit avec tous les privilèges de l’utilisateur, sur tous les sites où il est connecté. Un simple extrait de texte sur un site tiers peut donc, en théorie, permettre à Comet d’accéder à vos comptes bancaires, de lever des fonds ou de voler des informations sensibles


Attaques pratiques : faux achats et phishing

Des chercheurs en cybersécurité de Guardio Labs ont mis Comet à l’épreuve avec plusieurs scénarios réels de fraude. Les résultats sont inquiétants : Comet peut être trompé pour interagir avec des sites de phishing ou des boutiques factices. Par exemple, sur un faux site Web Walmart généré par IA (créé avec le service Lovable), Comet a passé une commande comme demandé. Sans hésiter, il a ajouté une montre Apple au panier, rempli automatiquement les champs d’adresse et de carte bancaire de l’utilisateur connecté, et finalisé l’achat sans demander de confirmation humaine.


Gérer les e-mails de phishing provenant de votre « banque »

Dans un autre test, Comet a interprété un faux e-mail de Wells Fargo comme légitime : il a cliqué sur le lien de phishing qu’il contenait, ouvert une fausse page de connexion bancaire, et même invité l’utilisateur à saisir ses identifiants. L’utilisateur ne voyait pas qu’il s’agissait d’un leurre – Comet avait géré la transaction de bout en bout.

Voici ce qu'ont indiqué les chercheurs à ce propos :

« Une autre fonctionnalité phare des navigateurs IA est la gestion de votre boîte de réception. Ils peuvent analyser les nouveaux messages, marquer les tâches à accomplir et même s'en occuper à votre place. Nous avons donc testé la façon dont Comet gérerait l'un des pièges les plus anciens sur Internet : un e-mail de phishing provenant de votre "banque" :


« Tout ce que nous avons fait, c'est simuler un simple e-mail provenant d'une nouvelle adresse ProtonMail (il est donc clair qu'il ne provient pas d'une banque) se faisant passer pour un message d'un gestionnaire d'investissement de Wells Fargo. À l'intérieur se trouvait un lien vers une véritable page de phishing, active depuis plusieurs jours et toujours non signalée par Google Safe Browsing.

« Lorsque Comet a reçu l'e-mail, il l'a marqué avec assurance comme une tâche à effectuer pour la banque et a cliqué sur le lien sans aucune vérification. Il n'y a eu aucune vérification de l'URL, aucun avertissement avant la navigation, juste un accès direct à la page de l'attaquant. Une fois la fausse page de connexion Wells Fargo chargée, Comet l'a traitée comme légitime. Il a invité l'utilisateur à saisir ses identifiants, l'aidant même à remplir le formulaire.

« Le résultat : une chaîne de confiance parfaite qui a mal tourné. En gérant l'ensemble de l'interaction, de l'e-mail au site web, Comet a en quelque sorte cautionné la page de phishing. L'utilisateur n'a jamais vu l'adresse suspecte de l'expéditeur, n'a jamais survolé le lien et n'a jamais eu l'occasion de s'interroger sur le domaine. Au lieu de cela, il a été redirigé directement vers ce qui semblait être une page de connexion légitime de Wells Fargo, et comme cela provenait de son IA de confiance, il s'est senti en sécurité.

« Ces deux cas prouvent que même les astuces les plus anciennes du répertoire des escrocs deviennent plus dangereuses entre les mains de l'IA Browsing. La chaîne de confiance change véritablement la donne : l'utilisateur n'interagit plus directement avec le contenu suspect, ne voit jamais les signaux d'alerte et n'a jamais l'occasion de se forger sa propre opinion ».


« PromptFix » : Injection rapide d'IA moderne

Enfin, Guardio décrit la technique dite PromptFix : l’attaquant place des commandes cachées dans un faux test CAPTCHA (invisible à l’œil humain) pour contourner les vérifications. Comet voit ces instructions cachées et clique sur un bouton « AI bypass » factice, déclenchant le téléchargement d’un malware – toujours sans que l’utilisateur ne s’en aperçoive.

Ci-dessous un extrait de leur billet :

Nous passons maintenant à tester le type de sécurité dont les navigateurs IA auront besoin pour résister à l'ère à venir de l'IA contre l'IA, une époque où les attaquants ne se soucient plus de manipuler les yeux, les émotions ou le jugement humains, mais ciblent directement l'IA en utilisant le seul langage qu'elle ne peut ignorer : les invites.

L'injection d'invites consiste à intégrer des instructions cachées dans le contenu traité par une IA, afin d'orienter ses actions d'une manière que l'humain n'a jamais demandée et ne voit jamais. Les attaques par injection d'invites les plus courantes aujourd'hui cachent du texte sur une page à l'aide d'astuces telles que : « Ignore toutes les instructions précédentes et... fais quelque chose de malveillant pour moi. » Lorsque l'agent IA traite la page, ce texte caché est intégré au code source, et l'invite injectée devient partie intégrante des instructions de l'IA.


Avec PromptFix, nous allons encore plus loin. Il s'agit de l'évolution, à l'ère de l'IA, de l'arnaque ClickFix, une technique d'ingénierie sociale imitant les pages captcha qui fonctionne si bien sur les humains, désormais adaptée pour fonctionner sur leurs agents IA. C'est le CAPTCHAgeddon à l'ère de l'IA. Au lieu de convaincre quelqu'un de cliquer sur un faux captcha qui exécute silencieusement un code malveillant, nous avons essayé quelque chose de différent. Nous avons élaboré un récit auquel l'IA ne peut tout simplement pas résister :


Dans ce scénario, le « captcha » apparaît comme une case à cocher inoffensive pour l'humain. À ce stade, l'agent IA devrait s'arrêter et demander à l'humain de le résoudre, exactement comme il a été programmé pour le faire. Mais derrière les coulisses se cache un ensemble d'instructions de l'attaquant dans une zone de texte invisible, dissimulée par un simple style CSS. Les humains ne peuvent pas la voir, mais elle s'affiche directement dans l'invite de l'agent IA lorsqu'il traite la page.

Pourquoi l'IA traiterait-elle ces éléments comme des commandes ? Dans les injections d'invites, l'attaquant mise sur l'incapacité du modèle à distinguer complètement les instructions du contenu normal dans la même invite, dans l'espoir de faire passer des commandes malveillantes à travers les contrôles de sécurité.

Avec PromptFix, l'approche est différente : nous n'essayons pas de manipuler le modèle pour le rendre obéissant. Au lieu de cela, nous le trompons en utilisant des techniques empruntées au manuel de l'ingénierie sociale humaine, en faisant directement appel à son objectif de conception fondamental : aider son humain rapidement, complètement et sans hésitation. Nous lui fournissons simplement les meilleures méthodes (de manipulation) pour y parvenir :

Le scénario de test que nous avons créé est assez simple. Un escroc envoie un faux message à une victime, se faisant passer pour son cabinet médical, avec un lien vers les « résultats récents d'analyses sanguines ». La victime demande à son assistant IA de s'en occuper. L'IA accède au lien, rencontre un captcha, puis découvre le « trésor » caché, provoquant une attaque par téléchargement furtif.

Conclusion

En somme, Comet offre des capacités prometteuses de navigation automatisée, mais sa conception actuelle l’expose à des attaques d’injection de prompt très puissantes. Les chercheurs préviennent qu’un seul site compromis peut suffire à prendre le contrôle d’un agent IA « naviguant » pour vous. Tant que les éditeurs n’auront pas intégré de barrières techniques (filtrage du contenu externe, validation explicite des tâches à risque, etc.), il faut garder en tête que l’assistant IA n’est pas infaillible – et que, en l’état, il vaut mieux éviter de lui confier l’accès à son compte en banque.

Brave, de son côté, a signalé ses découvertes à Perplexity (le développeur de Comet AI) le 25 juillet. Mais le 20 août, après avoir effectué des tests et divulgué la vulnérabilité, les chercheurs ont réalisé que les attaques décrites n'avaient pas été correctement corrigées. Ils l'ont à nouveau signalé.

Sources : Brave, Guardio

Et vous ?

Quelle lecture faites-vous de cette situation ? Êtes-vous surpris ?

Utilisez-vous un navigateur IA ou êtes-vous tenté d'en utiliser un ?

Faut-il considérer que les navigateurs IA doivent adopter des standards de sécurité aussi stricts que ceux des navigateurs traditionnels ?

Comment les éditeurs d’IA peuvent-ils séparer efficacement les instructions de l’utilisateur et le contenu d’un site web ?

L’agentivité (le fait qu’une IA agisse à notre place) doit-elle être limitée uniquement à certaines tâches non sensibles ?