Vous utilisez un navigateur IA ? 5 façons de vous protéger des injections de code malveillant

Illustration


A retenir

  • Les navigateurs utilisant l'IA agentique ont ouvert la voie aux attaques par injection de requêtes.
  • L'injection de requêtes peut permettre le vol de données ou vous rediriger vers des sites web malveillants.
  • Des développeurs travaillent à des correctifs, mais vous pouvez déjà prendre des mesures pour vous protéger.

Les agents d’IA sont capables d'effectuer des tâches nécessitant un certain raisonnement ou une collecte d'informations, comme jouer le rôle d'agents en direct ou d'assistants de service client pour les demandes des utilisateurs, ou encore effectuer des recherches contextuelles. Le concept d'IA agentique s'est désormais étendu aux navigateurs, et bien qu'ils puissent un jour devenir la norme, ils ont également introduit des risques de sécurité, notamment les attaques par injection de requêtes.

(Information : Ziff Davis, société mère de ZDNET, a intenté une action en justice contre OpenAI en avril 2025, l’accusant d’avoir enfreint ses droits d’auteur lors de l’entraînement et de l’exploitation de ses systèmes d’IA.)

Que sont les attaques par injection de prompt ?

L’IA commet des erreurs, et les ensembles de données sur lesquels s’appuient les grands modèles de langage (LLM) ne sont pas toujours précis, ni sûrs. Même si un navigateur provient d’un fournisseur fiable et réputé, cela ne signifie pas que les systèmes d’IA intégrés, tels que les assistants de recherche ou les chatbots, sont exempts de risques.

Google a chargé une équipe de test d'identifier les méthodes d'exploitation courantes des systèmes d'IA, notamment l'empoisonnement des données, l'insertion de messages malveillants dans les LLM, la création de portes dérobées et les attaques par injection de messages.

Les attaques par injection de messages se produisent lorsqu'un acteur malveillant insère du contenu malveillant dans les messages textuels afin de manipuler un système d'IA. Comme l'a souligné Google, cela peut entraîner des réponses inattendues, biaisées, incorrectes et offensantes, voire des réponses malveillantes aux conséquences plus graves.

Les attaques par injection de messages peuvent être directes, exploitant alors les LLM, ou indirectes, par exemple lorsqu'une faille de conception, un problème de gestion ou une ressource légitime est exploitée. À titre d'exemple, les chercheurs de Cato CTRL ont récemment révélé HashJack, une technique d'attaque par injection de messages capable de manipuler les navigateurs IA et les fenêtres contextuelles pour afficher du contenu malveillant.

Dans ce cas, des instructions malveillantes sont conçues et dissimulées dans un site web via des fragments d'URL : ce code apparemment inutile ou de suivi que nous ignorons souvent dans les liens. Si une victime visite ce domaine puis utilise son navigateur IA pour poser une question, des instructions cachées sont transmises à l'assistant IA, ce qui pourrait entraîner des réponses malveillantes ou l'affichage de liens d'hameçonnage. Les cybercriminels pourraient également être en mesure de dérober les informations personnelles saisies dans la fenêtre du navigateur IA.

Comment se protéger

Bien que la réduction du risque d'attaques par injection de requêtes rapides dépende davantage des développeurs de navigateurs IA que des consommateurs, voici cinq façons de préserver et de protéger votre vie privée et votre sécurité si vous utilisez un navigateur IA.

Que vous utilisiez un navigateur traditionnel ou IA, vous devez toujours faire preuve de prudence lorsque vous partagez des informations personnelles, notamment vos données financières.

À l'instar des logiciels traditionnels, les navigateurs et les systèmes IA nécessitent des mises à jour de sécurité et des correctifs de vulnérabilité. Si vous ne les installez pas dès leur disponibilité, vous exposez votre logiciel à des failles de sécurité pouvant mener à des attaques par injection de requêtes rapides. De plus, cela s'applique à tout appareil utilisant l'IA, y compris votre ordinateur portable et votre appareil mobile.

Comme le démontre la technique HashJack, le simple fait qu'un chat ou un assistant IA ait répondu à votre question ne signifie pas que ses réponses sont exactes, ni même sûres. L'IA n'est pas une source infaillible de connaissances ; soyez donc prudent avant de cliquer sur un lien ou une pièce jointe qui vous paraît suspecte.

Si vous utilisez l'IA pour gérer vos courriels ou créer du contenu (documents, etc.) à votre place, et si elle a été compromise, sachez que le phishing peut également être appliqué à l'intelligence artificielle. Vérifiez les liens, numéros de téléphone ou coordonnées fournis par les assistants IA avant de les utiliser, car vous pourriez sinon être victime d'une escroquerie.

Restez vigilant. L'IA évolue, mais les risques de sécurité qui y sont associés évoluent également. Vous devriez utiliser tous les outils de sécurité et de confidentialité à votre disposition, notamment l'authentification multifacteurs (AMF). Ainsi, même si une attaque par injection de code a permis le vol de vos identifiants de compte, vous pourrez empêcher les cybercriminels d'accéder à vos comptes. Nous vous recommandons également d'utiliser un VPN.

Ces conseils ne signifient pas qu'il faille éviter complètement les navigateurs dotés d'IA, mais qu'il convient d'être prudent lors de leur utilisation, surtout si vous leur confiez la gestion de vos données personnelles sensibles.

Dépasser les LLM : Yann LeCun affiche ses ambitions à Paris

A l'occasion du sommet AI Pulse organisé à Station F par , Yann Lecun, fraîchement débarqué de chez Meta, a officialisé son intention de monter une nouvelle start up visant à repousser les limites de l'intelligence artificielle. 

Par Louis Adam | 05 décembre 2025

Holo 2, GPU Nvidia, Mistral AI… Scaleway étend son écosystème en Europe

Fournisseur cloud et filiale d’Iliad, Scaleway a profité de la conférence ai-PULSE pour multiplier les annonces dans l’IA, les GPU et le quantique. Le clouder poursuit l’expansion de son écosystème et de sa couverture de l’Europe.

Par Christophe Auffray | 05 décembre 2025

Ce navigateur vous permet d'utiliser l'IA en local sur votre smartphone, même hors ligne

Puma fonctionne sur iPhone et Android et vous permet de bénéficier d'une IA privée et locale directement dans votre navigateur mobile.

Par Jack Wallen | 05 décembre 2025

ZDNET Morning 05/12/2025 : L'illusion humanoïde, Fair share et Gafam, Faille Android,...

Le ZDNET Morning le brief de l'actu tech pour les pros tous les matins à 9h00. Transformation numérique, IA, matériel, logiciels,... ne passez pas à côté de ce qui fait la Une du secteur.

Par Guillaume Serries | 05 décembre 2025

Test Ray-Ban Meta (Gen 2) : voici deux choses à retenir de cette nouvelle version des lunettes IA

La deuxième génération des lunettes connectées gavées d’intelligence artificielle est meilleure à tous points de vue. Mais elle a une concurrente qui mérite aussi votre attention.

Par Kerry Wan | 03 novembre 2025

J'ai testé les principaux navigateurs d'IA - voici ceux qui valent le coup

Les navigateurs IA promettent de changer notre façon de rechercher, d'acheter et de travailler en ligne. Je les ai donc essayés et j'en ai trouvé cinq qui tiennent vraiment la route.

Par Jack Wallen | 30 octobre 2025

IA pratique : ce service gratuit trouve les bons passages pour vous dans une vidéo YouTube

Si vous ne voulez pas regarder des vidéos en longueur, TLDW va, en utilisant l’intelligence artificielle, détecter et sélectionner leurs meilleures parties en quelques secondes.

Par Lance Whitney | 29 octobre 2025

Test Oso AI Earbuds : enfin des écouteurs qui enregistrent et transcrivent les appels… et gratuitement

Ces intras ne rivaliseront certainement pas avec les vôtres lorsqu’il s’agit d’écoute de la musique, mais les fonctions IA de transcription et d'enregistrement d'appels alimentées par GPT-5 sont tout à fait satisfaisantes.

Par Kyle Kucharski | 29 septembre 2025

Image fabriquée avec de l'IA ou pas ? 6 signes révélateurs d'un faux - et mes détecteurs gratuits préférés

L'IA est omniprésente et il est de plus en plus difficile de savoir ce qui est vrai. Mais ces conseils et outils peuvent vous aider.

Par Elyse Betters Picaro | 06 décembre 2025

Business : 7 manières de devenir une superstar des données, et de maîtriser les agents d'IA

Alors que la pression du marché est forte et que les entreprises lancent des projets d'IA et d'agents d'IA, les datas nécessaires à leur développement ne sont peut-être pas prêtes. Voici les conseils de pros.

Par Joe McKendrick | 02 décembre 2025

IA en entreprise : 5 conseils pour d'éviter que votre stratégie ne parte en sucette

Trois ans après l'essor de l'IA générative, les experts s'interrogent vraiment sur sa valeur. Voici comment vous pouvez faire en sorte que cette technologie produise des résultats concrets en entreprise.

Par Mark Samuels | 28 novembre 2025

IA en entreprise : le secret d’un déploiement réussi est une question de timing, et voici cinq facteurs pour vous aider

La mise en place les outils d’intelligence artificielle échoue dans 95 % des cas. Voyez comment réussir avec les vôtre.

Par Mark Samuels | 24 novembre 2025


Source : Lire l'article original

Read more