Les navigateurs IA présentent des risques de sécurité : pourquoi je ne peux plus ignorer la menace

Les navigateurs IA présentent des risques de sécurité : pourquoi je ne peux plus ignorer la menace

Ces dernières années, j’ai expérimenté différents navigateurs web, notamment les navigateurs innovants pilotés par l’IA, appelés navigateurs agentiques. Ces plateformes affichent non seulement des sites web, mais fonctionnent également de manière autonome en réponse aux requêtes des utilisateurs. Parmi les navigateurs IA les plus reconnus actuellement figurent Comet et Dia de Perplexity, ainsi que l’intégration de Gemini dans Chrome par Google. Si ces navigateurs IA peuvent simplifier certaines tâches en ligne, ils soulèvent également d’importantes préoccupations en matière de sécurité et de confidentialité des données.

Comprendre les navigateurs IA

Les navigateurs IA sont des navigateurs web dotés de fonctionnalités d’intelligence artificielle qui vont au-delà de la simple navigation sur un site web. Contrairement aux navigateurs traditionnels qui se contentent d’afficher du contenu, les navigateurs IA agissent comme des assistants proactifs, prêts à répondre à vos requêtes et à effectuer des tâches à votre place.

Communément appelés navigateurs agents, ils sont capables d’interpréter les intentions des utilisateurs, de parcourir les sites web de manière autonome et d’effectuer diverses tâches, comme remplir des formulaires, réserver, faire des achats en ligne, résumer des articles et gérer des applications de messagerie et d’agenda. Au lieu de cliquer et de faire défiler les pages, les utilisateurs peuvent simplement saisir des commandes comme « Réserver un dîner pour vendredi », et l’IA gère l’ensemble du processus de réservation.

Parmi les acteurs majeurs du secteur, Comet de Perplexity se distingue par son navigateur entièrement intégré, basé sur l’IA agentique. Conçu pour fonctionner comme un assistant personnel, Comet excelle dans la synthèse de pages web, l’organisation des boîtes de réception et l’exécution de workflows complexes.

Capture d'écran montrant la page d'accueil de Comet

Basé sur le framework Chromium, Comet prend en charge les commandes en langage naturel et s’intègre parfaitement à des services tels que Gmail et Agenda. Il n’est toutefois actuellement disponible que via l’abonnement premium « Max » à 200 $ par mois. J’ai personnellement testé Comet et constaté son potentiel prometteur, mais j’ai finalement opté pour mon navigateur standard par souci de confidentialité.

Dia, créé par The Browser Company et désormais intégré à Atlassian, offre une expérience comparable, bénéficiant de capacités similaires à celles de Comet.

Page d'accueil du navigateur Dia

Bien qu’OpenAI n’ait pas lancé de navigateur IA spécifique, son application ChatGPT propose un mode Agent capable de gérer des fonctions similaires. De plus, Google s’aventure dans ce domaine avec Project Mariner, une extension Chrome conçue pour faciliter les achats, la recherche d’informations et le remplissage de formulaires.

Mode Agent ChatGPT dans l'application Web

Risques pour la confidentialité des données des navigateurs IA

Les navigateurs et agents pilotés par l’IA nécessitent un accès étendu aux données utilisateur, ce qui peut engendrer d’importantes préoccupations en matière de confidentialité. Ces outils collectent souvent des volumes considérables d’historique de navigation et d’interactions utilisateur pour le traitement par l’IA. Les fonctionnalités qui améliorent l’efficacité de ces navigateurs, comme la lecture multi-onglets, l’indexation des fichiers locaux et l’intégration aux systèmes de messagerie ou de calendrier, impliquent qu’ils pourraient traiter par inadvertance des données utilisateur sensibles sans protection adéquate.

Shivan Kaul Sahib, vice-président de la confidentialité et de la sécurité chez Brave, a fourni un aperçu des implications en matière de sécurité : « Le risque de sécurité dépend de la manière dont l’IA est intégrée au navigateur… Lorsque l’IA est un assistant dont les capacités sont étroitement contrôlées, le risque de sécurité est identique à celui de la navigation traditionnelle. Cependant, donner à l’IA la capacité d’effectuer des actions de manière autonome complexifie la dynamique de sécurité.»

Soulignant encore davantage les vulnérabilités potentielles, les chercheurs de Brave ont découvert un risque critique associé à Comet. Une expérience a permis l’accès à des comptes inter-domaines via des invites malveillantes demandant à l’assistant IA de résumer une page web. L’IA a traité par inadvertance le contenu en combinant les commandes utilisateur avec le texte de la page web, ce qui pourrait permettre à des attaquants d’exploiter cette fonctionnalité en intégrant des instructions trompeuses dans une page.

De plus, les experts en sécurité avertissent que les agents d’IA augmentent la surface d’attaque des cyberintrusions. Sam Altman, PDG d’OpenAI, a reconnu que confier le contrôle à un agent d’IA accroît les risques et élargit considérablement le vecteur d’attaque.

Peser le pour et le contre de la confidentialité

Si les navigateurs IA promettent de simplifier les activités en ligne, ils impliquent d’importants compromis en matière de confidentialité. En testant ces plateformes, j’ai constaté que leur praticité nuisait souvent à la vitesse, à la fiabilité et à la sécurité. Par exemple, avec Comet, j’ai d’abord apprécié son potentiel d’automatisation de la navigation, mais j’ai rapidement été frustré par le temps d’exécution des tâches beaucoup plus long qu’avec les méthodes de navigation traditionnelles.

Agent Comet en action

De même, mes tests avec l’Operator d’OpenAI ont donné des résultats légèrement meilleurs, mais loin d’être parfaits. Des erreurs fréquentes m’ont conduit à remettre en question ses résultats plutôt qu’à faire confiance à ses recommandations.

Agent ChatGPT en action

Atténuer l’utilisation abusive des navigateurs IA

Au-delà des problèmes de performances, le principal risque associé aux navigateurs IA réside dans leur potentiel d’utilisation abusive. Une expérience inquiétante menée par la société de sécurité Guardio, baptisée « Scamlexity », a démontré la vulnérabilité de ces systèmes. Dans cette étude, des chercheurs ont créé un site de commerce électronique frauduleux et ont demandé à Comet d’acheter une Apple Watch. De manière alarmante, lors de plusieurs essais, Comet a ajouté l’article au panier et a tenté de payer en utilisant les informations de carte bancaire enregistrées par l’utilisateur sans demander de confirmation.

Une autre expérience consistait à envoyer un faux e-mail d’hameçonnage de Wells Fargo. Comet, ayant accès à la boîte de réception de l’utilisateur, a non seulement ouvert l’e-mail, mais a également cliqué sur le lien d’hameçonnage et a tenté de saisir ses identifiants de connexion sur le site web usurpé.

« Les navigateurs basés sur l’IA sont une arme à double tranchant », a averti Chandrasekhar Bilugu, directeur technique de SureShield. Il a insisté sur la nécessité pour les développeurs de mettre en œuvre des protocoles de sécurité tels que le sandboxing, la restriction de l’accès de l’IA aux fonctionnalités sensibles et la réalisation de tests contradictoires. Les utilisateurs assument également leur responsabilité en activant les extensions de confidentialité, en s’abstenant de divulguer des informations sensibles aux outils d’IA et en insistant sur la transparence des processus d’IA afin de limiter les risques d’exploitation.

Ces informations mettent en lumière un problème crucial : les fonctionnalités conçues pour améliorer l’expérience utilisateur dans les navigateurs IA peuvent compromettre simultanément la confidentialité et la sécurité. Sans mesures de protection efficaces, l’utilisation de navigateurs IA implique souvent de renoncer au contrôle des données sensibles au profit de fonctionnalités sous-développées.

Pour ceux qui souhaitent faire la différence entre l’IA et les interactions humaines, plusieurs outils sont disponibles pour les aider.

Source et images

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *