Publié le 2025-10-09 15:15:00. Une analyse de sécurité architecturale menée par SquareX Labs a mis en lumière des vulnérabilités dans les navigateurs intégrant l’intelligence artificielle, notamment Comet de Perplexity. Ces nouvelles applications, bien que prometteuses pour automatiser les tâches en ligne, ouvrent la porte à des risques cyber inédits.
Alors que la course à l’innovation dans le domaine des navigateurs est lancée, avec l’arrivée de solutions comme Comet de Perplexity, OpenAI, The Browser Company et Fellou AI, et l’annonce d’intégration par les géants Chrome et Edge, le rapport de SquareX Labs tire la sonnette d’alarme. L’adoption massive de ces outils pourrait transformer radicalement notre interaction avec le web, mais leurs architectures actuelles semblent mal préparées à gérer les défis de sécurité posés par le comportement autonome de l’IA.
Selon les chercheurs, quatre catégories de menaces émergent :
-
Flux de travail malveillants : Les agents IA peuvent être leurrés par des attaques de phishing ou basées sur OAuth, conduisant à l’octroi d’autorisations d’accès excessives et à l’exposition de données sensibles (emails, cloud).
-
Injection de requêtes : Des cybercriminels pourraient dissimuler des instructions malveillantes au sein d’applications légitimes (comme SharePoint ou OneDrive), poussant les agents IA à divulguer des informations ou à diffuser des liens dangereux.
-
Téléchargements malveillants : Les navigateurs IA pourraient être manipulés pour télécharger des logiciels malveillants camouflés, souvent via des résultats de recherche truqués.
-
Utilisation abusive d’outils de confiance : Même des applications commerciales réputées pourraient être détournées pour exécuter des commandes non autorisées grâce aux interactions pilotées par l’IA.
Les investissements en cybersécurité axés sur l’IA sont une priorité majeure, selon PwC.
Face à ces constats, les experts de SquareX appellent à une collaboration étroite entre développeurs de navigateurs, entreprises et fournisseurs de solutions de sécurité. Les outils de cybersécurité actuels, tels que les solutions SASE (Secure Access Service Edge) et EDR (Endpoint Detection and Response), manquent de visibilité sur les actions spécifiques des agents IA, rendant complexe la distinction entre une action humaine et une action automatisée.
Pour remédier à ces vulnérabilités, le rapport préconise plusieurs mesures concrètes :
-
Mettre en place des systèmes d’identification des agents pour différencier clairement les actions des utilisateurs de celles de l’IA.
-
Intégrer des politiques de prévention de la perte de données (DLP – Data Loss Prevention) directement dans les navigateurs.
-
Développer une analyse des fichiers côté client pour détecter les téléchargements potentiellement malveillants.
-
Effectuer des évaluations des risques liés aux extensions pour identifier les modules complémentaires dangereux ou compromis.
En conclusion, alors que les fonctionnalités d’IA deviennent un élément fondamental de la navigation sur le web, il est impératif d’intégrer la sécurité dès la conception de ces systèmes pour prévenir toute exposition involontaire de données confidentielles.