De nouveaux rapports révèlent que les navigateurs IA créent d'énormes vulnérabilités en matière de cybersécurité. Des chercheurs ont découvert des vulnérabilités dans ChatGPT Atlas permettant l'injection de code via la mémoire IA. Le navigateur Comet de Perplexity peut être piraté à l'aide d'instructions cachées dans les sites web. Les navigateurs IA créent des « profils plus invasifs que jamais » en apprenant de toutes les activités des utilisateurs. Les experts en cybersécurité avertissent que les vulnérabilités zero-day « augmentent de manière exponentielle » avec les agents IA.Perplexity AI a récemment annoncé que son navigateur Comet était désormais téléchargeable gratuitement dans le monde entier. Conçu comme une alternative aux navigateurs traditionnels, Comet intègre un assistant capable de résumer des pages, d'organiser des tâches et de sélectionner des informations en temps réel. Parallèlement à cette sortie, Perplexity a également lancé Comet Plus avec le soutien de grands éditeurs, afin de promouvoir un journalisme de qualité directement dans le navigateur.
En réponse, OpenAI a dévoilé son navigateur ChatGPT Atlas. Atlas conserve la disposition familière des navigateurs traditionnels, notamment les onglets, les signets, le mode incognito et d'autres fonctionnalités attendues, mais son principal attrait réside dans son intégration profonde avec ChatGPT, qui permet aux utilisateurs de résumer des pages, d'affiner du texte, de discuter avec les résultats de recherche et d'interagir avec des sites web directement via une barre latérale ou un affichage en écran partagé qui maintient un compagnon ChatGPT toujours visible.
Ces initiatives témoignent de l'ambition de Perplexity et d'OpenAI de contester la domination de Google Chrome tout en promouvant une expérience Internet alimentée par l'IA. Cependant, des experts en cybersécurité ont qualifié ces navigateurs IA de « bombe à retardement ». ChatGPT Atlas et le mode Copilot de Microsoft Edge peuvent répondre à des questions et effectuer des actions en votre nom, mais des chercheurs ont déjà découvert des failles critiques permettant à des pirates d'injecter du code malveillant et de voler des données sensibles. La précipitation à commercialiser ces navigateurs signifie qu'ils n'ont pas été testés de manière approfondie, créant ainsi ce que les experts décrivent comme une surface d'attaque en croissance exponentielle.
La course à l'armement des navigateurs IA vient de prendre une tournure dangereuse. OpenAI et Microsoft ont inauguré une nouvelle ère avec ChatGPT Atlas et le mode Copilot pour Edge, mais les chercheurs en cybersécurité tirent la sonnette d'alarme sur ce qu'ils qualifient de « champ de mines de nouvelles vulnérabilités ».
Le moment ne pouvait pas être pire. Ces navigateurs alimentés par l'IA arrivent sur le marché dans ce que Hamed Haddadi, professeur à l'Imperial College de Londres et scientifique en chef chez Brave, qualifie de « ruée vers le marché ». Il avertit que « ces navigateurs agents n'ont pas été testés et validés de manière approfondie », ce qui revient à mener une expérience à grande échelle avec la sécurité des utilisateurs.
Les preuves s'accumulent déjà. Au cours des dernières semaines, des chercheurs en sécurité ont découvert des failles critiques dans Atlas qui permettent aux pirates d'exploiter la fonction mémoire de ChatGPT pour injecter du code malveillant, s'octroyer des privilèges d'accès ou déployer des logiciels malveillants. Des vulnérabilités similaires dans le navigateur Comet de Perplexity permettent aux pirates informatiques de détourner l'IA à l'aide d'instructions cachées intégrées dans des sites web.
Mais OpenAI et Perplexity reconnaissent que ces « injections de prompt » constituent des problèmes de pointe sans solution claire. Même Dane Stuckey, directeur de la sécurité informatique chez OpenAI, a admis que la menace était réelle, bien qu'il l'ait décrite comme un défi non résolu auquel l'ensemble du secteur est confronté. La concurrence est à l'origine de ce déploiement risqué. Google intègre Gemini dans Chrome, Opera a lancé Neon, et des startups comme Dia de The Browser Company se disputent le contrôle de ce que Haddadi appelle « la porte d'entrée vers Internet ». Même le navigateur suédois Strawberry cible activement les « utilisateurs déçus d'Atlas » alors qu'il est encore en version bêta.
Ce qui rend les navigateurs IA particulièrement dangereux, c'est leur connaissance intime des utilisateurs. Yash Vekaria, chercheur en informatique à l'université de Californie à Davis, explique qu'ils sont « beaucoup plus puissants que les navigateurs traditionnels » car les fonctions de mémoire IA apprennent de tout : historique de navigation, e-mails, recherches, conversations avec les assistants IA. Il en résulte « un profil plus invasif que jamais », associé à des informations de carte de crédit et des identifiants de connexion stockés auxquels les pirates informatiques aimeraient avoir accès.
Les agents IA eux-mêmes constituent le pire cauchemar en matière de sécurité. Contrairement aux humains qui développent un sens commun des menaces en ligne, ces agents visitent aveuglément des sites web suspects, cliquent sur des liens dangereux et saisissent des informations sensibles là où elles n'ont pas leur place. Pire encore, ils peuvent être piratés par des injections cachées dans des images, des champs de formulaire, des e-mails ou même du texte blanc invisible sur fond blanc.
« L'interaction avec les agents permet des configurations infinies par essais et erreurs », explique Haddadi. Les pirates peuvent essayer différentes approches jusqu'à ce qu'ils parviennent à leurs fins, créant ainsi ce que Shujun Li, professeur de cybersécurité à l'université du Kent, appelle des vulnérabilités « exponentiellement croissantes » de type zero-day. Comme les attaques commencent par l'agent, leur détection est retardée, ce qui peut entraîner des violations plus importantes.
Les scénarios d'attaque sont effrayants. Le chercheur indépendant Lukasz Olejnik imagine des pirates utilisant des instructions cachées pour voler des données personnelles ou rediriger des livraisons d'achats en modifiant les adresses enregistrées. Vekaria prévient qu'il est « relativement facile de mener des attaques » compte tenu des mesures de sécurité actuelles des navigateurs IA, ajoutant que « les fournisseurs de navigateurs ont beaucoup de travail à faire ».
Pour l'instant, les experts recommandent la plus grande prudence. Li suggère aux utilisateurs de « fonctionner par défaut en mode sans IA » et de n'utiliser les fonctionnalités IA que « lorsqu'ils en ont absolument besoin ». Si vous devez utiliser des agents IA, Vekaria conseille de fournir des sites web sécurisés et vérifiés plutôt que de laisser les agents choisir, car « cela peut aboutir à suggérer et à utiliser un site frauduleux ».
Il ne s'agit pas simplement d'un problème de sécurité technologique parmi tant d'autres. Il s'agit d'un changement fondamental dans le fonctionnement des navigateurs, la mémoire IA créant des profils d'utilisateurs sans précédent tandis que les agents agissent de manière autonome sur la base d'instructions potentiellement malveillantes. Comme le dit Olejnik, en référence aux déploiements technologiques passés : « Et c'est reparti pour un tour. » Mais cette fois-ci, l'enjeu ne concerne pas seulement la vie privée des individus, mais aussi la sécurité de toute notre expérience de navigation sur le web.
En effet, des chercheurs en cybersécurité ont déjà remis en cause l'efficacité des tests actuels de sécurité de l'IA lors de la conférence DEF CON. Ils estiment que les méthodes actuelles de protection des systèmes d'IA sont fondamentalement défectueuses et nécessitaient une refonte complète. L'industrie de l'IA se base actuellement sur l'approche « red team », qui consiste à demander à des experts en cybersécurité de rechercher les vulnérabilités des systèmes d'IA. Mais les chercheurs affirment que cette approche est inefficace, car la documentation des modèles...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.