La manière dont on accède au Web est en train d’évoluer. Désormais, l’intelligence artificielle n’est plus un simple site ou service que l’on visite dans un onglet. Elle est directement intégrée au sein du navigateur, et peut suivre l’ensemble de votre navigation, remplacer les moteurs de recherche, et même agir à votre place. Nous l’avons d’abord vu avec Comet de Perplexity AI, et plus récemment avec ChatGPT Atlas d’OpenAI. Microsoft vient d’ajouter le mode Copilot à Edge, Opera a lancé Neon, et bientôt nous aurons droit à Google Gemini dans Chrome. C’est à se demander si nous aurons bientôt le choix d’utiliser l’IA ou non.

Ces « navigateurs agentiques » sont censés être des assistants. Ils effectuent les recherches à votre place, et peuvent même faire vos courses ou réserver une table dans un restaurant. Toutefois, ces nouvelles technologies apportent de nouveaux risques. Pour les cyberpirates, c’est du pain béni. Voici une technologie conçue pour collecter un maximum de données et dont on ne comprend pas encore les failles de sécurité.

Comet est l’un des premiers navigateurs agentiques. © Perplexity

L’infiltration de requêtes : quand l’IA exécute des ordres malveillants

Cette semaine, LayerX a découvert une faille dans ChatGPT Atlas qui permet d’ajouter des instructions dans la mémoire du chatbot. Dès que vous l’utilisez, cela active ces instructions et les hackers peuvent alors prendre le contrôle du logiciel et du compte. Plusieurs attaques ciblent le navigateur Comet. L’une d’entre elles consiste à inclure du texte dans une page contenant des instructions, via du texte blanc sur fond blanc, ou directement dans le code source de la page. Lorsque l’utilisateur demande à l’IA de résumer la page, l’IA tombe sur les instructions malveillantes et les exécute. Dans le même style, une autre attaque utilise du texte dans une image quasiment imperceptible pour un humain. Lorsque l’IA tente de comprendre l’image, elle détecte le texte, qui contient des instructions.

Ce type d’attaques s’appelle « prompt injection », ou l’infiltration de requêtes, où des acteurs malveillants trouvent un moyen d’envoyer des instructions à l’IA du navigateur à l’insu de l’utilisateur. L’intégration de chatbots ajoute une surface d’attaque complètement nouvelle, et il faut garder à l’esprit qu’avec ce genre de navigateur, l’IA a accès à une grande quantité de données sur votre utilisation des sites et outils en ligne, qui sont une véritable mine d’or pour des cybercriminels.

« Opera Neon intègre des mesures de protection contre l’infiltration de requêtes en analysant celles-ci à la recherche de caractéristiques potentiellement malveillantes. Cependant, il est important de reconnaître qu’en raison de la nature non déterministe des modèles d’IA, le risque d’une attaque par l’infiltration de requêtes réussie ne peut être entièrement réduit à zéro » a affirmé Opera. Les développeurs de ces navigateurs agentiques eux-mêmes reconnaissent qu’il n’est pas possible de se prémunir complètement contre ce genre d’attaque.

Actions autonomes : la menace de l’usurpation de compte

Et ce ne sont pas uniquement vos données qui sont menacées. Rappelons que ces outils intègrent des agents, capables de réaliser des actions de manière autonome en accédant à vos comptes. Une attaque réussie pourrait donc utiliser ces agents pour effectuer des actions à votre place, comme publier sur les réseaux sociaux ou faire des achats. Perplexity a récemment publié un billet sur le genre d’attaques, et admet qu’il est nécessaire « de repenser la sécurité de fond en comble ».

Ne croyez pas que Comet soit une exception. Ce navigateur agentique est tout simplement le seul qui soit bien connu et disponible depuis des mois. C’est donc celui qui a été le plus étudié sous cet angle. Cependant, tous les navigateurs agentiques peuvent être piratés grâce à l’infiltration de requêtes. Au final, même si leurs nouvelles fonctionnalités sont intéressantes et bien pratiques, mieux vaut éviter de les utiliser tant qu’ils seront vulnérables à ce genre d’attaques.