Les navigateurs web basés sur l’IA (aussi appelés agentic browsers) promettent d’effectuer des tâches complexes pour l’utilisateur (achat en ligne, gestion de mail, réservations…) sans intervention humaine. Comet, développé par Perplexity, en est un exemple phare. L’utilisateur peut simplement demander à l’IA intégrée de « résumer cette page », « acheter un billet d’avion » ou « vérifier mes e‑mails », et Comet va parcourir le Web et interagir avec les sites comme s’il naviguait lui-même. Cette automatisation puissante ouvre la voie à de nouveaux usages... mais aussi à de nouveaux risques. Des chercheurs de Brave (Navigateur Brave) et de l’entreprise Guardio ont en effet découvert que Comet traitait tout le contenu d’une page Web comme faisant partie de la requête de l’utilisateur. Autrement dit, il ne fait pas la distinction entre ce que l’utilisateur lui demande et le texte éventuellement caché sur la page. Un attaquant peut donc « cacher » des commandes malveillantes dans n’importe quel site Web (son propre site ou même des commentaires d’autres utilisateurs), puis tromper Comet pour qu’il les exécute à la place d’un vrai utilisateur.
Le mois dernier, Perplexity a annoncé la disponibilité de son navigateur Comet. Son application est basée sur Chromium, le même moteur que Chrome, mais qui se distingue par son intégration profonde avec l'intelligence artificielle de Perplexity. Contrairement aux navigateurs traditionnels, il n'est pas qu'un simple outil pour afficher des pages web ; il agit comme un assistant proactif et un partenaire qui interagit avec le contenu pour le compte de l'utilisateur. Ses fonctionnalités clés incluent une recherche unifiée capable d'analyser le contexte instantanément, la capacité de résumer des pages web, de gérer des calendriers, de suivre des emails, de faire du shopping en ligne, et d'interagir avec des services tiers.
Envoyé par Brave
Ce type de navigation agentique est incroyablement puissant, mais il présente également des défis importants en matière de sécurité et de confidentialité. À mesure que les utilisateurs se familiarisent avec les navigateurs IA et commencent à leur confier des données sensibles lors de sessions connectées (telles que des sites bancaires, médicaux et autres sites critiques), les risques se multiplient. Que se passerait-il si le modèle hallucinait et effectuait des actions que vous n'avez pas demandées ? Ou pire encore, que se passerait-il si un site web d'apparence inoffensive ou un commentaire laissé sur un réseau social pouvait voler vos identifiants de connexion ou d'autres données sensibles en ajoutant des instructions invisibles à l'assistant IA ?
Des chercheurs de Brave ont identifié une faille dans Comet : le logiciel est vulnérable à une injection de prompt indirecte. Concrètement, lorsqu’un utilisateur clique sur « résumer cette page » ou pose une question à l’IA, Comet envoie le texte de la page au modèle de langage sans filtre. Il ne « sait » pas quelles parties sont la demande de l’utilisateur et quelles parties proviennent du site. Ainsi, un attaquant peut intégrer du texte malveillant invisible ou non sollicité dans le code HTML d’une page (par exemple en cachant du texte en blanc sur fond blanc, dans des commentaires, ou via des éléments CSS invisibles). Lorsque l’utilisateur demande à l’IA de traiter la page, Comet lit et exécute ces instructions cachées comme s’il s’agissait d’une vraie requête.
La chaîne d’attaques typique se déroule ainsi :
- Préparation de l’attaque : l’attaquant crée ou compromet une page Web. Il y cache des instructions (textes explicites ou balises invisibles) qui ordonnent à l’IA de réaliser une action malveillante.
- Déclenchement : un utilisateur visite cette page et demande à Comet de la résumer ou d’en extraire des informations (par exemple en cliquant sur « Résumer »).
- Injection : en analysant la page, Comet lit à la fois le contenu légitime et les instructions cachées, qu’il prend indistinctement pour des consignes de l’utilisateur.
- Exécution malveillante : l’IA exécute alors ces instructions et peut, par exemple, naviguer sur un site bancaire en étant déjà connecté sous l’identité de l’utilisateur, extraire des identifiants ou déclencher des actions malicieuses (paiements, virements, exfiltration de données, etc.)
Par exemple, Brave a démontré une preuve de concept où Comet, soumis à un texte caché dans un commentaire Reddit, a été ordonné d’aller chercher l’adresse e-mail de l’utilisateur sur Perplexity, de récupérer un code de vérification (OTP) en se connectant à Gmail, puis de renvoyer le tout à l’attaquant. En quelques clics de souris invisibles, l’attaquant obtenait l’accès au compte Perplexity de la victime. L’étude souligne que les protections classiques du Web (même origine, CORS, sandboxing) ne s’appliquent plus : l’agent IA agit avec tous les privilèges de l’utilisateur, sur tous les sites où il est connecté. Un simple extrait de texte sur un site tiers peut donc, en théorie, permettre à Comet d’accéder à vos comptes bancaires, de lever des fonds ou de voler des informations sensibles
Attaques pratiques : faux achats et phishing
Des chercheurs en cybersécurité de Guardio Labs ont mis Comet à l’épreuve avec plusieurs scénarios réels de fraude. Les résultats sont inquiétants : Comet peut être trompé pour interagir avec des sites de phishing ou des boutiques factices. Par exemple, sur un faux site Web Walmart généré par IA (créé avec le service Lovable), Comet a passé une commande comme demandé. Sans hésiter, il a ajouté une montre Apple au panier, rempli automatiquement les champs d’adresse et de carte bancaire de l’utilisateur...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
