Récemment, des chercheurs en sécurité ont testé un des nouveaux navigateurs d’IA agentiques. La liste des tâches était assez simple : rechercher un produit, remplir un formulaire et finaliser une commande. En quelques heures, le navigateur avait cliqué sur une publicité de phishing, saisi les informations d’une carte de crédit sur un faux site et effectué une transaction frauduleuse, le tout sans qu’un humain ne soit conscient de l’escroquerie.
C’était un rappel troublant de la puissance des navigateurs actuels. Ils savent où nous allons, ce que nous recherchons et ce que nous achetons. Ils enregistrent des cookies, des identifiants, des tokens et des données de remplissage automatique qui nous authentifient discrètement sur le Web. Chaque habitude numérique, chaque connexion, chaque trace de métadonnées comportementales transite par cette application unique. Lorsqu’une couche d’IA commence à fonctionner au sein de ces navigateurs, le résultat n’est pas seulement une interface plus intelligente, mais une surface d’attaque exposée.
De l’erreur humaine à l’erreur machine, à grande échelle
Le phishing et le social engineering exploitent depuis longtemps le comportement humain, en tirant parti de la curiosité, de la distraction et de la confiance des utilisateurs. Les attaquants comptent sur les erreurs et le volume : quelqu’un, quelque part, finira bien par cliquer sur l’appât.
Les navigateurs d’IA bouleversent ce modèle. En effet, les agents d’IA ne sont pas impulsifs, mais ils sont dociles, prêts à tout faire pour mener à bien une tâche sollicitée par un humain. Si une page malveillante inclut une instruction cachée ou une invite manipulatrice, un agent d’IA peut l’ingérer et l’exécuter sans hésitation. Lorsqu’un attaquant découvre une méthode d’attaque efficace, que ce soit par injection d’invite, code HTML dangereux ou texte invisible, il n’a plus besoin de tromper des personnes : ils peuvent cibler directement les systèmes agissant en leur nom.
Les anciennes stratégies d’attaque fonctionnent toujours : faux identifiants, fenêtres contextuelles trompeuses, publicités malveillantes, contournement de CAPTCHA. La différence réside dans l’échelle à laquelle ces stratégies sont déployées. Un navigateur d’IA peut prendre la même mauvaise décision des milliers de fois par seconde, à travers d’innombrables sessions, tout en apparaissant légitime pour les systèmes qu’il touche.
Un multiplicateur de menaces redoutable mais discret
Pendant la majeure partie de l’histoire du Web, les navigateurs ont été considérés comme des outils qui affichent du contenu, mais n’y participent pas. Ce présupposé n’a jamais été tout à fait vrai. Les navigateurs sont depuis longtemps une mine d’or de données : historique de navigation, mots de passe enregistrés, cookies de session et documents mis en cache. Ils se situent déjà à l’intersection de l’identité, des données et du comportement.
L’émergence de navigateurs agentiques tels qu’Atlas d’OpenAI, Comet de Perplexity ou le mode Copilot de Microsoft Edge amplifie ce risque. Ces navigateurs ne se contentent pas d’afficher des pages ; ils les interprètent, les résument et agissent en fonction de celles-ci. Ils connaissent votre contexte et vos préférences. Ils peuvent récupérer des informations, exécuter des workflows et même effectuer des transactions.
Pour un système d’entreprise, ces actions semblent normales avec des tokens valides, des en-têtes corrects et un comportement approprié. Pour un attaquant, cette légitimité est une opportunité. Compromettez l’agent, et vous héritez de la confiance, de l’identité et du champ d’action de l’utilisateur. Le navigateur a toujours été l’un des logiciels ayant les privilèges les plus étendus, sur n’importe quel terminal.
Comment les risques s’enchaînent
Les modes de défaillance potentiels sont des extensions de modèles que les équipes sécurité comprennent déjà, mais qui évoluent plus rapidement et avec un accès plus large :
- Exposition des données : les navigateurs d’IA peuvent résumer des tableaux de bord sensibles ou mettre en cache des données confidentielles en mémoire, ce qui les place en dehors des contrôles de conformité et de prévention des pertes de données (DLP).
- Fraude et transactions : les agents subissant une injection d’invite peuvent initier des achats, des virements ou des approbations sans confirmation humaine.
- Vol d’identifiants : les API de remplissage automatique et les sessions enregistrées peuvent être piratés pour partager des données de connexion avec des pages usurpées.
- Atteinte à la réputation : les systèmes automatisés peuvent publier ou envoyer des messages au nom des utilisateurs, créant ainsi des risques en termes de confiance et d’authenticité.
Individuellement, chacun de ces risques est familier. Ensemble, ils constituent une menace qui opère à l’intérieur du périmètre en toute légitimité.
Responsabilité, intention et confiance
Le défi le plus complexe n’est même pas lié à la détection, mais à la responsabilité. Nos frameworks de sécurité actuels supposent qu’une personne est à l’origine de chaque action. Or, lorsque les navigateurs agissent de manière autonome, ce lien n’est plus une certitude.
Un navigateur d’IA peut accéder à des données sensibles, approuver des workflows ou partager des informations avec un autre service, tout en utilisant les bons identifiants sur le bon réseau. Du point de vue de la supervision, tout semble normal. Pourtant, l’intention a disparu de l’équation.
Sans un moyen clair d’identifier et de contraindre ces acteurs non humains, les entreprises perdent à la fois la visibilité et le contrôle. Elles ne peuvent pas facilement déterminer l’utilisateur ou l’entité qui a effectué une action, ni si cette action était autorisée. Dans ce nouveau contexte, l’identité devient le moyen de réintroduire la notion de responsabilité dans ces interactions.
Si une entité, qu’elle soit humaine ou machine, peut se connecter, accéder aux données et exécuter des commandes, elle doit avoir une identité, des autorisations clairement définies et un comportement auditable. Et dans le cas des agents d’IA, elle doit être liée à un propriétaire humain qui en est responsable. Sinon, la confiance devient une simple supposition, et « l’activité normale » devient votre prochaine menace interne.
Les questions que doivent se poser les responsables de la sécurité
Les RSSI sont déjà mis à rude épreuve par les nouveaux cas d’usage de l’IA et la pression réglementaire. Mais quelques questions simples peuvent révéler où le risque prend le plus rapidement de l’ampleur :
- Pouvons-nous déterminer si l’activité consignée dans nos journaux est initiée par un humain ou par un agent ?
- Nos politiques d’accès sont-elles suffisamment granulaires pour assurer la gouvernance des actions déléguées du navigateur ?
- Nos systèmes DLP et antifraude considèrent-ils l’automatisation agentique comme distincte du comportement des utilisateurs ?
- Que se passe-t-il si un navigateur d’IA est compromis et se met à exfiltrer des données via des API légitimes ?
- Comment établissons-nous des pistes d’audit qui prouvent l’intention dans un environnement autonome ?
Les réponses à ces questions définiront le niveau de préparation des entreprises pour la prochaine génération d’automatisation web.
Sécuriser le Web agentique
Le navigateur a toujours été une cible de grande valeur. Il sait qui nous sommes, ce que nous faisons et où résident nos données. Le facteur supplémentaire de l’IA ne fait qu’accroître le risque.
Avec la présence croissante des navigateurs d’IA et des agents d’IA dans le quotidien, les équipes sécurité devront adapter les principes familiers à un territoire inconnu. La vérification, le moindre privilège, la surveillance continue et la révocation rapide de session restent les pierres angulaires ; la différence est qu’ils doivent maintenant s’appliquer aux acteurs logiciels, et pas seulement aux utilisateurs humains.
Protéger les données dans cet environnement signifie étendre les contrôles basés sur l’identité à chaque entité capable d’agir sur le réseau. Ce n’est qu’en liant chaque action à une identité vérifiée et en évaluant continuellement son comportement que nous pouvons préserver la responsabilité dont dépend la sécurité moderne.
Découvrez comment Okta aide les entreprises à sécuriser les agents d’IA dans leur environnement.
