Les équipes de Cato Networks ont découvert une technique baptisée HashJack qui ajoute un prompt malveillant à la suite d’une URL. Cette méthode piège les navigateurs basés sur l’IA pour mener différentes campagnes, phishing, vol de données, installation de malwares,…
Alors que les navigateurs intègrent de plus en plus de fonctions d’IA pour aider les utilisateurs à consulter, résumer ou analyser les pages web, ces capacités ouvrent également la voie à des vecteurs d’attaque inédits. Après plusieurs démonstrations d’injections de prompts visant les LLM dans les outils de productivité ou les messageries, des experts de Cato Networks ont mis en évidence une forme d’attaque par injection indirecte ciblant les récents navigateurs.
Baptisée HashJack, cette technique repose sur des prompts malveillants dissimulés dans la partie d’une URL située après le symbole #. Selon un rapport de Cato Networks, « HashJack est la première attaque d’injection indirecte connue capable d’armer n’importe quel site officiel pour manipuler les fonctions IA des navigateurs ». Et la liste des victimes potentielles est longue : Comet de Perplexity, Copilot for Edge de Microsoft, Gemini for Chrome de Google… Tous peuvent être détournés et utilisés comme tremplin pour un large éventail d’attaques.
HashJack exploite une portion d’URL pour influencer le comportement des assistants IA intégrés aux navigateurs. (Crédit: Cato Networks)
Une attaque sous les radars
Le symbole # dans une URL sert habituellement à pointer vers une section de page, à transmettre des informations à un script en JavaScript pour de la navigation interne ou à conserver l’état d’une interface. Un élément purement local, qui ne quitte jamais le navigateur. En principe sans danger, sauf que les assistants IA, eux, vont le lire. Même lorsqu’il contient des instructions malveillantes.
Conséquence : tout se joue en arrière-plan, directement dans le navigateur, loin des outils de défense habituels. IDS et pare-feux ne voient rien. Les serveurs de log restent vides puisque ce fragment ne leur est jamais transmis. Les protections du navigateur comme le CSP (content security policy) ne réagissent pas non plus : la page semble inchangée.
Tromper l’utilisateur avec des liens piégés
Au cœur de la menace se trouve l’ingénierie sociale. L’utilisateur est invité à cliquer sur une URL apparemment anodine reçue par e-mail, messagerie ou lien partagé, menant vers un site officielle mais dont l’adresse dissimule un prompt malveillant. Une fois installé, l’assistant pourrait inciter l’utilisateur à appeler un numéro contrôlé par un escroc ou à cliquer sur un lien WhatsApp piégé pour obtenir une prétendue assistance. Dans un scénario plus avancé, l’invite intégrée dans l’URL peut ordonner à un navigateur comme Comet de Perplexity d’extraire des informations sensibles visibles sur le site bancaire (numéro de téléphone, historiques, informations de compte…) et de les envoyer à un serveur de commande et contrôle.
Et ce n’est pas tout. Conseils d’investissement inventés, fausses actualités, recommandations médicales hasardeuses, voire instructions ouvrant une porte dérobée, le navigateur peut se mettre à inventer sous l’influence d’un simple bout d’URL. Pour les chercheurs, le danger est clair. « Cette technique transforme des sites tout à fait crédibles en vecteurs d’attaque simplement via leur adresse. L’utilisateur fait confiance au site, au navigateur, puis à l’assistant augmentant drastiquement les chances de réussite par rapport au phishing traditionnel. »
Des comportements variables
Les effets observés varient selon les navigateurs testés et les scénarios. En effet, les injections de prompts ont influencé la sortie textuelle de tous les produits évalués, mais l’insertion de liens malveillants s’est révélée plus complexe avec Gemini Assistant pour Chrome, qui réécrit parfois les liens sous forme de requêtes de recherche, et avec Microsoft Copilot dans Edge, qui impose une confirmation supplémentaire avant d’ouvrir un lien intégré dans un message.
À l’inverse, Comet de Perplexity, plus avancé, s’est montré le plus vulnérable, car il peut charger des URL malveillantes en arrière-plan, en ajoutant au passage des informations contextuelles comme des paramètres. Microsoft et Perplexity ont déployé des correctifs, mais Google n’a pas considéré HashJack comme une vulnérabilité, estimant qu’il s’agit d’un comportement attendu. Enfin, Cato Networks note que Claude pour Chrome et Operator d’OpenAI n’ont pas été affectés par cette technique.