Publié le 2024-05-17 10:00:00. Une étude de SquareX révèle des failles de sécurité critiques dans les navigateurs exploitant l’intelligence artificielle, ouvrant la porte à des cyberattaques sophistiquées ciblant les données d’entreprise.
- Des navigateurs IA, conçus pour agir de manière autonome, se révèlent vulnérables à des attaques comme le vol de données via OAuth et la diffusion de logiciels malveillants.
- L’entreprise a spécifiquement identifié des vulnérabilités exploitables sur Comet, un navigateur IA actuellement sur le marché.
- Face à l’adoption croissante de ces outils, les solutions de sécurité actuelles se montrent insuffisantes pour distinguer les actions des IA de celles des humains.
La recherche menée par SquareX met en lumière un risque émergent pour la cybersécurité des entreprises : les navigateurs intégrant des capacités d’intelligence artificielle. Ces outils, conçus pour automatiser des tâches, présentent des faiblesses qui peuvent être exploitées par des cybercriminels. L’étude détaille comment ces navigateurs peuvent être trompés pour perpétrer diverses attaques, allant de la compromission d’accès via des protocoles d’autorisation à la distribution de logiciels malveillants.
Les chercheurs se sont particulièrement penchés sur Comet, un navigateur IA, démontrant comment des attaquants ont pu manipuler son fonctionnement. Un scénario met en évidence l’exploitation du protocole OAuth : lors d’une tâche de recherche, le navigateur a involontairement accordé un accès complet à des comptes de messagerie et à des services de stockage cloud, exposant l’intégralité des fichiers de l’utilisateur, y compris ceux partagés avec des tiers.
Une autre faille constatée concerne les fonctionnalités d’automatisation promues par Comet lui-même. L’IA a été amenée à envoyer un lien malveillant à un collègue via une invitation de calendrier, potentiellement ouvrant la voie à de nouvelles infections ou à des tentatives de hameçonnage au sein de l’organisation. Des tests supplémentaires ont révélé que le navigateur pouvait être incité à télécharger des malwares connus ou à envoyer des documents professionnels sensibles à des attaquants externes.
L’adoption rapide des navigateurs IA par les entreprises, notamment ceux de géants comme OpenAI, Microsoft et Google, amplifie le risque. Alors que Chrome et Edge dominent le marché actuel, il est probable que leurs successeurs basés sur l’IA deviendront le principal mode d’accès à Internet pour les consommateurs et les entreprises. Cette tendance pose un défi majeur aux systèmes de sécurité traditionnels tels que les solutions EDR (Endpoint Detection and Response), SASE (Secure Access Service Edge) et SSE (Secure Service Edge), qui manquent de la granularité nécessaire pour différencier les actions d’une IA de celles d’un utilisateur humain.
« Comme tout agent IA, les navigateurs IA sont entraînés à accomplir des tâches, sans égard pour la sécurité. Il est donc facile pour les attaquants de tromper des navigateurs comme Comet pour qu’ils effectuent des actions malveillantes, en leur faisant croire que cela fait partie intégrante du flux de travail qu’ils exécutent. Avec deux navigateurs grand public majeurs qui annoncent publiquement leur entrée dans la course aux navigateurs IA, il est inévitable que ces derniers deviennent le principal moyen par lequel nous interagirons avec Internet à l’avenir. Sans la solution native appropriée au navigateur, capable de mettre en œuvre des garde-fous pour ces navigateurs IA prenant en compte l’identité de l’agent et le DLP (Data Loss Prevention) de l’agent, des millions d’utilisateurs seront en danger », prévient Vivek Ramachandran, fondateur de SquareX.
Pour adresser ces nouvelles menaces, SquareX recommande des solutions de sécurité intégrées au navigateur, capables de distinguer le comportement humain de celui de l’agent IA. Une collaboration étroite entre les éditeurs de logiciels de sécurité, les développeurs de navigateurs et les départements informatiques des entreprises est jugée essentielle pour développer des cadres de protection robustes avant une adoption généralisée des navigateurs IA.
« Les navigateurs ont toujours été notre passerelle universelle vers Internet. Les navigateurs IA représentent la prochaine étape logique où, au lieu de simplement afficher des informations, le navigateur agit de manière autonome en notre nom. Le compromis ? Là où nous étions autrefois fermement aux commandes, les navigateurs IA nous pousseront à être des passagers », commente Stephen Bennett, RSSI (Responsable de la Sécurité des Systèmes d’Information) du groupe Domino’s Pizza Enterprises Ltd.
L’étude conclut en avertissant les organisations de ne pas se fier uniquement aux solutions de sécurité existantes pour se protéger contre les risques liés à l’IA dans la navigation web, appelant à un engagement sectoriel urgent pour relever ces défis évolutifs.