Les navigateurs IA, comme Comet de Perplexity et Leo de Brave, peuvent offrir des commodités que l’on ne trouve pas dans les navigateurs conventionnels, mais ils présentent également des risques potentiellement plus élevés.
« La capacité de rassembler et de résumer rapidement les informations disponibles sans avoir à investir des heures de clics et de lecture est incroyablement précieuse », a observé Andy Bennett, RSSI d’Apollo Information Systems, un fournisseur de solutions informatiques et de cybersécurité, à Dallas.
« Dans le même temps, les navigateurs IA apportent des analyses et permettent à l’utilisateur de glaner des informations qui prendraient normalement beaucoup de temps ou seraient complètement manquées », a-t-il déclaré à TechNewsWorld. « L’IA peut aider à trouver des informations sur un plus grand nombre de sources qu’un utilisateur ne peut traiter physiquement ou manuellement dans une expérience de navigateur traditionnelle. »
Mais cette grande puissance s’accompagne de grands risques, comme l’expliquent les chercheurs de Brave dans un article de blog :
« Au lieu de simplement demander « Résumez ce que dit cette page sur les vols à Londres », vous pouvez commander : « Réservez-moi un vol pour Londres vendredi prochain ». L’IA ne se contente pas de lire, elle parcourt et effectue des transactions de manière autonome.
Ils ont poursuivi en notant : « Ce type de navigation agentique est incroyablement puissant, mais il présente également d’importants problèmes de sécurité et de confidentialité. À mesure que les utilisateurs se familiarisent avec les navigateurs IA et commencent à leur confier des données sensibles lors de sessions de connexion, telles que les banques, les soins de santé et d’autres sites Web critiques, les risques se multiplient. «
« Et si le modèle hallucine et effectue des actions que vous n’avez pas demandées ? » ont-ils demandé. « Ou pire, que se passerait-il si un site Web d’apparence inoffensive ou un commentaire laissé sur un site de réseau social pouvait voler vos identifiants de connexion ou d’autres données sensibles en ajoutant des instructions invisibles pour l’assistant IA ?
Risque d’instructions cachées
Les chercheurs ont en fait découvert une vulnérabilité « instructions cachées » dans le navigateur Comet. Lorsqu’on lui demande de résumer une page Web, le navigateur alimente la page dans son grand modèle de langage (LLM) sans faire de distinction entre les instructions de l’utilisateur et le contenu non fiable de la page. « Cela permet aux attaquants d’intégrer des charges utiles d’injection indirecte que l’IA exécutera sous forme de commandes », ont-ils expliqué.
« L’injection rapide est une préoccupation pour tous les agents IA, mais particulièrement pour les navigateurs IA », a observé Lionel Litty, RSSI et architecte de sécurité en chef chez Menlo Security, un fournisseur de sécurité des navigateurs, à Mountain View, en Californie.
« C’est parce que le contenu Web n’est pas intrinsèquement fiable et est souvent regroupé à partir de nombreuses sources », a-t-il déclaré à TechNewsWorld. « Même lors de la visite d’un site de commerce électronique de confiance, le contenu vu par le navigateur AI peut inclure des avis de clients et des publicités de tiers, autant de sources possibles d’injection rapide. »
« En général, les outils réseau sont mal placés pour gérer l’injection rapide, car ils ont une compréhension très limitée des activités de navigation », a-t-il ajouté. « Il faut des solutions qui comprennent le contexte complet de la session de navigation et qui peuvent protéger l’agent de manière proactive en ajoutant des garde-fous rigides. »
Accusations commerciales
La sécurité a été citée parmi les raisons pour lesquelles Amazon a ordonné à Perplexity de supprimer le détaillant Internet de l’expérience Comet.
« Les conditions d’utilisation et l’avis de confidentialité de Perplexity lui accordent des droits étendus pour collecter des mots de passe, des clés de sécurité, des méthodes de paiement, des historiques d’achats et d’autres données sensibles auprès des clients accédant à la boutique Amazon ou à d’autres sites Web tiers, tout en déclinant toute responsabilité en matière de sécurité des données », a écrit Amazon dans une lettre de « cessation et d’abstention » envoyée à Perplexity.
« Dans le même temps », poursuit-il, « Perplexity échappe intentionnellement à l’identification par Amazon de l’agent Comet AI lorsqu’il accède à l’Amazon Store, et interfère ainsi directement avec les efforts d’Amazon pour gérer les risques de sécurité. Ceci est particulièrement troublant compte tenu des rapports récents montrant que Comet AI est vulnérable aux attaques par injection rapide, au phishing, aux escroqueries et à d’autres formes de cyberattaques. «
Perplexity a rétorqué que le véritable objectif d’Amazon est de sauvegarder son modèle commercial lucratif axé sur la publicité. Lorsqu’un agent IA est simplement chargé d’acheter le détergent à lessive le moins cher, il ignore les résultats sponsorisés, les ventes incitatives et les offres confuses qui génèrent des revenus pour Amazon, affirme-t-il. Perplexity a comparé la situation à un magasin qui permet uniquement aux clients d’embaucher un personal shopper qui travaille exclusivement pour le magasin, pas un véritable personal shopper, mais un vendeur.
Les navigateurs IA présentent des risques que les navigateurs traditionnels ne présentent pas. « Les navigateurs traditionnels n’essaient pas d’interpréter une page ou d’agir sur elle », a expliqué Dan Pinto, PDG et co-fondateur de Fingerprint, une société d’intelligence des appareils et d’empreintes digitales des navigateurs, à Chicago.
« Avec les navigateurs IA, l’assistant IA fait partie de l’expérience de navigation », a-t-il déclaré à TechNewsWorld. « Cela signifie qu’il interprétera une page et agira selon des instructions intelligemment cachées, car c’est pour cela qu’il a été conçu. »
Les navigateurs traditionnels affichent le contenu tandis que les navigateurs IA l’interprètent, a expliqué Dylan Dewdney, co-fondateur et PDG de Kuvi.ai, un fournisseur de produits logiciels embarqués.
« Cette couche interprétative est le multiplicateur de menace », a-t-il déclaré à TechNewsWorld. « Un navigateur normal peut charger un site malveillant, mais un navigateur IA peut être socialement conçu, trompé ou contraint linguistiquement à prendre des mesures en votre nom, y compris des actions que vous n’avez pas autorisées ou même comprises. Cela ressemble moins au piratage d’un navigateur qu’au piratage de l’assistant à qui vous avez délégué la prise de décision. «
Plus dangereux que votre navigateur Web moyen
Pinto a ajouté que, dans de nombreux cas, les attaques lancées via les navigateurs IA sont plus nuisibles que celles ciblant les navigateurs traditionnels.
« Le danger est que l’assistant IA puisse agir en votre nom, comme cliquer sur des liens malveillants, remplir des formulaires et envoyer des informations personnelles précieuses, le tout à votre insu », a-t-il déclaré. « Une fois qu’un attaquant peut influencer cette automatisation, les choses dégénèrent rapidement et l’utilisateur risque de ne jamais voir un seul signal d’alarme. »
Jon Knisley, responsable de l’IA des processus chez Abbyy, une société mondiale d’automatisation intelligente, a soutenu que c’est un double coup qui rend les navigateurs IA plus dangereux que leurs homologues conventionnels. « La nature autonome des navigateurs IA et une intégration plus profonde avec les ressources des utilisateurs élargissent leur rayon d’impact », a-t-il déclaré à TechNewsWorld.
« Avec l’accès aux données des utilisateurs via les e-mails et les documents, une attaque réussie peut compromettre l’ensemble d’un flux de travail par rapport à une session de navigateur local », a-t-il déclaré. « De plus, les agents ne disposent pas du filtre du « bon sens » qui peut interrompre une attaque d’ingénierie sociale ou de phishing plus traditionnelle. »
Dewdney a expliqué que la navigation basée sur l’IA réduit le fossé entre la lecture et le jeu d’acteur. « Une invite malveillante n’apparaît pas seulement sur votre écran. Elle peut en fait déclencher des actions, automatiser des flux de travail, accéder à des comptes ou exfiltrer des données », a-t-il déclaré. « Une fois qu’un attaquant détourne la ‘couche d’interprétation’, le rayon d’explosion est considérablement plus grand. Avec les utilisateurs humains, il y a des frictions. Avec les agents, il y a la vitesse et l’obéissance. »
Donner à un navigateur agent l’accès aux mots de passe, noms d’utilisateur et autres informations d’identification les rend également potentiellement plus dangereux pour les utilisateurs, a ajouté Nick Muy, RSSI de Scrut Automation, une société d’automatisation de la cybersécurité et de la conformité dont le siège est à Milpitas, en Californie. Il a averti les utilisateurs de ne pas stocker les noms d’utilisateur, mots de passe et autres informations d’identification directement dans un navigateur.
« Exiger que le navigateur s’authentifie auprès d’une application tierce comme 1Password », a-t-il déclaré à TechNewsWorld. « Néanmoins, il y a beaucoup de risques à donner au navigateur l’accès à n’importe quoi. »
Un clic du chaos
Pinto a noté que la communauté en ligne surveille la première vague d’attaques, entièrement axée sur la façon dont les assistants ou les agents d’IA perçoivent le Web, et non sur la façon dont les humains le font.
« Cela signifie que les défenses doivent également s’adapter », a-t-il déclaré. « Plus les assistants IA sont autorisés à agir au nom des utilisateurs, plus il devient important de disposer de systèmes capables de reconnaître quand quelque chose concernant un appareil, une session ou le comportement d’un utilisateur n’a pas de sens, pas seulement s’il s’agit d’un être humain ou non.
« Cette couche d’informations supplémentaire », a-t-il poursuivi, « peut aider à protéger les comptes sans entraver cette nouvelle façon dont les utilisateurs légitimes interagissent avec le Web. »
« Nous entrons dans une ère où la langue est un vecteur d’attaque », a ajouté Dewdney.
« Les modèles de sécurité conçus pour les humains ne correspondent pas clairement à des systèmes qui raisonnent, résument et agissent », a-t-il expliqué. «La solution à long terme sera un mélange de vérifiabilité cryptographique – attestant de l’intégrité du contenu – de sandboxing d’agent et de cadres d’identité décentralisés.»
« D’ici là, les utilisateurs devraient traiter les navigateurs IA de la même manière que les premiers internautes traitaient les pièces jointes des e-mails : puissants, pratiques et à un clic imprudent du chaos », a-t-il déclaré.
