Des experts alertent sur la montée en puissance des extensions malveillantes capables de falsifier les fonctions IA des navigateurs présentes sous forme de barre latérale.
Alors que Chrome, Edge ou Firefox subissent depuis des années les assauts d’extensions malveillantes, SquareX, spécialiste de la sécurité des navigateurs tire la sonnette d’alarme sur le risque ciblant les navigateurs intégrant des fonctions d’IA. En effet, selon la société la falsification (spoofing) des assistants IA se généralise via des extensions frauduleuses. Celles-ci sont capables d’imiter les assistants légitimes, tromper les utilisateurs, exfiltrer leurs données, les rediriger vers des sites piégés ou installer des backdoors. Même le récent navigateur Atlas dévoilé par OpenAI est vulnérable.
Ces extensions se cachent souvent derrière des interfaces familières. Ainsi, les utilisateurs pensent interagir avec leur assistant IA habituel, alors que chaque requête peut être détournée. Le danger est la perte totale de contrôle sur les informations et les systèmes.
Fonctionnement des attaques
L’attaque démarre lorsqu’un utilisateur installe une extension, souvent déguisée en utilitaire officiel comme un gestionnaire de mots de passe ou un assistant IA. Une fois active, elle injecte du code JavaScript pour créer une barre latérale factice. Les instructions saisies peuvent être manipulées : liens vers des sites frauduleux, commandes système exécutées à distance. Dans un test, une commande censée installer un outil sur macOS ou Linux a ouvert une connexion vers le serveur de l’attaquant, offrant un accès complet à la machine.
Pour les DSI et RSSI, la vigilance est impérative. Interdire l’usage des navigateurs basés sur l’IA constitue une solution radicale, mais seulement si l’on peut contrôler les terminaux des collaborateurs. Sinon, chaque extension doit être scrutée, qu’elle soit IA ou classique. Ed Dubrovsky, COO de Cypfer, recommande des principes stricts de zero trust : « Les logiciels vulnérables doivent être isolés pour qu’ils n’atteignent jamais vos données sensibles. » Selon lui, l’IA dépasse le simple chatbot : capable d’exécuter des tâches et de générer du code, elle déplace le contrôle de l’humain vers le logiciel. David Shipley, spécialiste en sensibilisation à la sécurité au travail, résume : « Pour la plupart des RSSI, utiliser ces navigateurs à base d’IA est un vrai cauchemar. Ces outils sont des incendies prêts à se déclarer. » Même les sociétés comme Apple, Google et Microsoft rencontrent des problèmes pour sécuriser leurs extensions.
Recommandations pour les entreprises
SquareX recommande de renforcer les politiques de sécurité sur les navigateurs : limiter l’exécution de commandes malveillantes, bloquer les sites de phishing avancés, restreindre les permissions pour les applications non autorisées. De même, une vigilance accrue sur les extensions et outils IA sollicitant des accès larges est également indispensable.
Gabrielle Hempel, stratège chez Exabeam, insiste « les navigateurs IA avec fonctions autonomes introduisent une surface d’attaque totalement nouvelle. Une extension peut usurper une interface de confiance et pousser l’utilisateur à exécuter des actions dangereuses. Les entreprises doivent prendre ce risque très au sérieux. » Elles doivent restreindre l’usage des navigateurs à base d’IA pour les fonctions sensibles, revoir leurs workflows d’approbation des extensions et appliquer une sécurité granulaire afin de limiter les risques d’exploitation par des malwares.