Publié le 9 octobre 2025 à 13h56. Une étude récente met en lumière de sérieuses failles de sécurité dans les navigateurs web intégrant l’intelligence artificielle, ouvrant la porte à des compromissions de données sensibles pour les entreprises. SquareX, la société à l’origine de la recherche, alerte sur le risque croissant lié à l’adoption rapide de ces technologies.
- Des vulnérabilités ont été identifiées dans des navigateurs IA, permettant potentiellement aux attaquants d’accéder à des comptes de messagerie et à des espaces de stockage en ligne.
- L’automatisation des tâches par ces navigateurs peut être détournée pour diffuser des liens malveillants ou télécharger des logiciels dangereux.
- Les systèmes de sécurité traditionnels s’avèrent insuffisants pour détecter et contrer ces nouvelles menaces spécifiques aux navigateurs IA.
Les navigateurs web dotés d’intelligence artificielle, tels que Comet, sont de plus en plus populaires auprès des entreprises. Cependant, une étude approfondie menée par SquareX révèle des failles de sécurité préoccupantes qui pourraient compromettre la confidentialité et l’intégrité des données. La recherche se concentre sur la capacité de ces navigateurs à effectuer des tâches de manière autonome, une fonctionnalité qui, paradoxalement, les rend vulnérables à diverses cyberattaques.
L’une des principales vulnérabilités exploitées concerne le protocole OAuth, largement utilisé pour l’autorisation d’accès à des services tiers. SquareX a démontré qu’un attaquant pouvait manipuler un navigateur IA, comme Comet, pour obtenir un accès complet aux comptes de messagerie et à Google Drive d’une victime, alors que le navigateur était simplement chargé d’effectuer une recherche. Cela permettrait l’exfiltration de fichiers, y compris ceux partagés avec des collaborateurs et des clients.
L’étude souligne également le danger lié à l’automatisation des tâches au sein des boîtes de réception. Dans un scénario testé, Comet a envoyé un lien malveillant à un collègue de la victime via une invitation de calendrier, ouvrant potentiellement la voie à des infections par des logiciels malveillants ou à des attaques de phishing au sein de l’entreprise. Des tests supplémentaires ont révélé que le navigateur pouvait être induit en erreur pour télécharger des logiciels malveillants connus et envoyer des informations confidentielles à des attaquants externes par courrier électronique.
Vivek Ramachandran, fondateur de SquareX, met en garde :
« Comme tout agent IA, les navigateurs IA sont conçus pour accomplir des tâches sans tenir compte de la sécurité. Il est donc facile pour les attaquants de les manipuler afin qu’ils effectuent des actions malveillantes, en les persuadant qu’il s’agit d’une étape nécessaire de leur flux de travail. Avec l’annonce par deux grands fabricants de navigateurs de leur entrée sur le marché des navigateurs IA, il est inévitable que ces outils deviennent le principal moyen d’interaction avec Internet. Sans une solution de sécurité native capable de mettre en œuvre des garde-fous tenant compte de l’identité de l’agent et de la prévention des pertes de données, des millions d’utilisateurs seront exposés. »
Les systèmes de détection et de réponse aux incidents (EDR), ainsi que les solutions Secure Access Service Edge (SASE) et Secure Service Edge (SSE), ne sont pas adaptés pour distinguer les actions effectuées par l’agent IA de celles initiées par un utilisateur humain. Du point de vue du réseau, ces deux types de requêtes apparaissent identiques, ce qui rend difficile pour les organisations d’identifier et de contrôler l’activité spécifique aux navigateurs IA.
Stephen Bennett, RSSI du groupe Domino’s Pizza Enterprises Ltd., souligne l’évolution du rôle des navigateurs :
« Les navigateurs ont toujours été notre porte d’entrée universelle sur Internet. Les navigateurs IA représentent la prochaine étape logique, où le navigateur agit de manière autonome en notre nom. Le revers de la médaille ? Nous passons d’un rôle de contrôle ferme à celui de passagers. »
La recherche de SquareX recommande le développement et le déploiement de solutions de sécurité natives pour navigateur, capables de différencier le comportement humain de celui de l’agent IA, afin de mettre en œuvre des protections de données et des contrôles d’accès efficaces. Une collaboration étroite entre les fournisseurs de sécurité, les éditeurs de navigateurs et les équipes informatiques des entreprises est essentielle pour garantir une protection robuste face à l’adoption croissante des navigateurs IA.
L’étude met en garde contre la dépendance excessive aux solutions de sécurité existantes et appelle à une action urgente de l’industrie pour faire face à ces risques émergents.
