Publié le 2025-10-23 16:00:00. Lancement du navigateur IA d’OpenAI, ChatGPT Atlas, suscite des inquiétudes majeures parmi les experts en cybersécurité. Ces derniers alertent sur les risques d’attaques malveillantes visant à détourner l’assistant ou à dérober des données sensibles.
- Des experts redoutent que le nouveau navigateur IA d’OpenAI, ChatGPT Atlas, ne soit vulnérable à des attaques de type « injection rapide ».
- Ces attaques pourraient permettre à des pirates de prendre le contrôle de l’agent IA pour voler des informations confidentielles, voire accéder à des comptes bancaires.
- OpenAI reconnaît le risque et affirme avoir mis en place des mesures de sécurité, tout en soulignant que le problème est complexe et évolutif.
La société d’intelligence artificielle OpenAI a dévoilé mardi son nouveau navigateur, baptisé ChatGPT Atlas. L’ambition est de proposer un outil capable non seulement de répondre aux requêtes des utilisateurs, mais aussi d’exécuter des tâches en ligne de manière autonome. Par exemple, un utilisateur planifiant un voyage pourrait demander à Atlas de trouver des idées, d’organiser un itinéraire, puis de réserver directement vols et hébergements.
Parmi les innovations d’Atlas figurent les « mémoires du navigateur », permettant à ChatGPT de retenir les informations clés de la navigation d’un utilisateur pour affiner ses réponses et proposer des suggestions plus pertinentes. Un « mode agent » expérimental offre également à ChatGPT la possibilité de naviguer et d’interagir avec les pages web à la place de l’utilisateur.
Ce lancement s’inscrit dans la stratégie plus large d’OpenAI visant à transformer ChatGPT d’une simple application en une plateforme informatique étendue. Cette initiative intensifie la compétition avec des géants comme Google et Microsoft, ainsi qu’avec des acteurs plus récents tels que Perplexity, qui a lancé son propre navigateur IA, Comet. Google a, de son côté, intégré son modèle Gemini à son navigateur Chrome.
Cependant, les experts en cybersécurité soulignent que tous les navigateurs basés sur l’IA présentent de nouveaux défis en matière de sécurité, notamment en ce qui concerne les « injections rapides ». Il s’agit d’un type d’attaque où des instructions malveillantes sont insérées dans un système d’IA pour le pousser à adopter un comportement non désiré, comme divulguer des informations sensibles ou exécuter des actions nuisibles.
« Il y aura toujours des risques résiduels autour des injections rapides, car c’est simplement la nature des systèmes qui interprètent le langage naturel et exécutent des actions », explique George Chalhoub, professeur adjoint au UCL Interaction Centre, à Fortune. « Dans le monde de la sécurité, c’est un peu un jeu du chat et de la souris, nous pouvons donc nous attendre à voir d’autres vulnérabilités émerger. »
Le problème fondamental réside dans la difficulté pour ces navigateurs IA de distinguer les instructions légitimes d’un utilisateur de confiance du texte présent sur des pages web potentiellement non fiables. Un pirate pourrait ainsi dissimuler des commandes malveillantes sur une page web, incitant l’IA à, par exemple, ouvrir la messagerie de l’utilisateur dans un nouvel onglet et à exporter tous les messages vers l’attaquant. Ces instructions peuvent être rendues quasiment invisibles pour l’œil humain, par exemple en utilisant du texte blanc sur fond blanc ou du code machine, tout en restant lisibles par le navigateur IA.
« Le risque principal est que cela brouille la frontière entre les données et les instructions : cela pourrait transformer un agent IA dans un navigateur d’un outil utile en un vecteur d’attaque potentiel contre l’utilisateur », ajoute Chalhoub. « Il peut donc extraire tous vos e-mails et voler vos données professionnelles, ou se connecter à votre compte Facebook pour voler vos messages, ou encore extraire tous vos mots de passe, donnant ainsi à l’agent un accès non filtré à tous vos comptes. »
Face à ces préoccupations, Dane Stuckey, responsable de la sécurité de l’information chez OpenAI, a indiqué sur X (anciennement Twitter) que l’entreprise « étudiait et atténuait de manière très réfléchie » les risques liés aux injections rapides.
« Notre objectif à long terme est que vous puissiez faire confiance à l’agent ChatGPT pour utiliser votre navigateur, de la même manière que vous feriez confiance à votre collègue ou ami le plus compétent, le plus digne de confiance et le plus soucieux de la sécurité », a-t-il écrit. « Pour ce lancement, nous avons effectué une vaste équipe rouge, mis en œuvre de nouvelles techniques de formation de modèle pour récompenser le modèle qui ignore les instructions malveillantes, mis en place des garde-fous et des mesures de sécurité qui se chevauchent, et ajouté de nouveaux systèmes pour détecter et bloquer de telles attaques. Cependant, l’injection rapide reste un problème de sécurité frontalier et non résolu, et nos adversaires consacreront beaucoup de temps et de ressources pour trouver des moyens de faire tomber l’agent ChatGPT dans ces attaques. »
Stuckey a précisé qu’OpenAI avait déployé plusieurs mesures pour limiter les risques, notamment des systèmes de réponse rapide pour détecter et bloquer les campagnes d’attaque, ainsi qu’un investissement continu dans la recherche et la sécurité pour renforcer la robustesse des modèles et des infrastructures. Des fonctionnalités comme le « mode déconnecté », permettant à ChatGPT d’agir sans identifiants de compte, ou le « mode surveillance », pour informer l’utilisateur lorsque l’agent opère sur des sites sensibles, sont également proposées.
Contactée par Fortune, OpenAI a renvoyé vers les déclarations de Dane Stuckey.
Une nouvelle surface d’attaque : les navigateurs IA
Plusieurs utilisateurs sur les réseaux sociaux ont déjà partagé des démonstrations d’attaques par injection rapide réussies contre ChatGPT Atlas. L’un d’eux a montré comment des « actions cachées de copie dans le presse-papiers » intégrées dans les boutons d’une page web pouvaient amener l’agent IA à écraser le presse-papiers de l’utilisateur avec des liens malveillants. Si l’utilisateur colle ensuite ces liens, il peut être redirigé vers des sites de phishing et voir ses informations de connexion volées, y compris les codes d’authentification multifacteur (MFA).
Quelques heures seulement après le lancement d’Atlas, Brave, un éditeur de navigateur open source, a publié un article détaillant plusieurs vulnérabilités propres aux navigateurs IA, notamment les injections d’invites indirectes. Brave avait déjà exposé une faille dans le navigateur Comet de Perplexity, permettant à des attaquants d’intégrer des commandes cachées dans des pages web. Ces commandes pouvaient être exécutées lorsque l’IA était sollicitée pour résumer la page, exposant potentiellement des données sensibles comme les e-mails des utilisateurs.
Brave a également découvert que dans Comet, des commandes pouvaient être dissimulées dans des images, déclenchées lors d’une capture d’écran par l’utilisateur. Dans Fellou, un autre navigateur agentique, la simple visite d’une page web malveillante pouvait inciter l’IA à exécuter des instructions nuisibles.
« Ces failles sont nettement plus dangereuses que celles des navigateurs traditionnels », affirme Chalhoub. « Avec un système d’IA, celui-ci lit activement le contenu et prend des décisions à votre place. La surface d’attaque est donc beaucoup plus grande et véritablement invisible. Alors qu’auparavant, avec un navigateur classique, il fallait entreprendre un certain nombre d’actions pour être attaqué ou infecté. »
« Les risques en matière de sécurité et de confidentialité me semblent toujours insurmontables », a commenté Simon Willison, un programmeur britannique, sur son blog. « J’aimerais voir une explication détaillée des mesures prises par Atlas pour éviter les attaques par injection rapide. À l’heure actuelle, il semble que la principale défense repose sur l’attente que l’utilisateur surveille attentivement ce que fait le mode agent à tout moment ! »
Des utilisateurs sous-estiment les risques liés au partage de données
Des questions se posent également concernant la confidentialité et la conservation des données. ChatGPT Atlas demande notamment aux utilisateurs de choisir de partager leurs trousseaux de mots de passe, un point qui pourrait être exploité par des attaques ciblant l’agent du navigateur.
« Le défi est que pour que l’assistant IA soit utile, vous devez lui donner accès à vos données et à vos privilèges, et si des attaquants peuvent tromper l’assistant IA, c’est comme si vous étiez vous-même trompé », déclare Srini Devadas, professeur au MIT et chercheur principal au CSAIL.
Devadas souligne que le principal problème de confidentialité avec les navigateurs IA réside dans la fuite potentielle de données sensibles, telles que des informations personnelles ou financières, lorsque du contenu privé est partagé avec les serveurs IA. Il met également en garde contre le risque que ces navigateurs fournissent des informations incorrectes en raison des « hallucinations » des modèles, et que l’automatisation des tâches puisse être détournée à des fins malveillantes, comme la création de scripts nuisibles.
« La couche d’intégration entre la navigation et l’IA constitue une nouvelle surface d’attaque », conclut-il.
Chalhoub ajoute qu’il pourrait être facile pour les utilisateurs moins avertis techniquement de télécharger ces navigateurs en supposant que la confidentialité est une fonctionnalité intégrée par défaut.
« La plupart des utilisateurs qui téléchargent ces navigateurs ne comprennent pas ce qu’ils partagent lorsqu’ils utilisent ces agents, et il est très facile d’importer tous vos mots de passe et votre historique de navigation depuis Chrome, et je ne pense pas que les utilisateurs s’en rendent compte, donc ils ne font pas vraiment un choix éclairé », déplore-t-il.