Découvrez comment les nouveaux navigateurs IA redéfinissent les règles de la cybersécurité

Les navigateurs IA comme Perplexity Comet et OpenAI Atlas promettent une navigation plus intelligente et automatique. Ils peuvent rechercher, remplir des formulaires, mémoriser vos habitudes, relier votre boîte mail ou votre agenda pour vous assister… Mais cette nouvelle génération de navigateurs apporte aussi des risques inédits : la mémoire de l’IA, ses actions automatiques et ses liens avec vos services en ligne créent de nouveaux chemins pour la fuite ou le vol de données.

Pourquoi ces nouveaux outils changent la donne ?

Un navigateur IA ne se contente plus d’afficher des pages : il agit comme un petit robot sur votre machine et sur vos services connectés (mails etc…). Ce fonctionnement, très pratique, déplace la sécurité de votre poste vers l’IA elle‑même : plus elle est puissante et connectée, plus elle devient une cible pour les pirates cherchant à extraire des données confidentielles ou à détourner des actions.

Atlas, par exemple, intègre une “mémoire de navigateur” et un “mode agent”. Il observe ce que vous faites, se souvient et peut agir pour vous. Comet suit la même logique. Ces assistants sont précieux, mais ils exposent aussi à des attaques qui manipulent l’IA pour qu’elle réagisse à des commandes cachées qu’un utilisateur classique ne verrait jamais. Même si des réglages existent pour plus de contrôle, la plupart des gens gardent les paramètres par défaut, et certaines protections montrent déjà leurs limites en conditions réelles.

Les menaces à surveiller : bien plus que le phishing

Le danger ne vient pas seulement du vol de mots de passe. Les pirates cherchent à manipuler le comportement de l’agent IA, qui dispose de droits étendus sur vos données personnelles : la mémoire du navigateur, vos emails, votre agenda, ou d’autres services connectés. L’attaque type : faire passer une commande malveillante (appelée “prompt injection”) dans un champ ou une adresse Web, et l’IA, pensant exécuter une tâche normale, livre en fait des infos sensibles à l’attaquant.

Parfois, ces commandes cachées sont tellement simples qu’elles échappent aux protections traditionnelles : codes encodés ou textes invisibles pour l’utilisateur, mais lisibles par l’IA. La frontière entre ce qui est “privé” et ce qui peut être transmis à l’extérieur est alors beaucoup moins nette.

Exemples récents : quand une URL suffit à piéger le navigateur

Des chercheurs ont montré que, via la technique dite “CometJacking”, il suffit d’un lien piégé pour faire agir l’agent IA et extraire tout ce qu’il a le droit de voir : mails, calendrier, historique. Pas besoin de voler un mot de passe, l’IA a déjà accès à tout. D’autres attaques utilisent des captures d’écran ou des balises invisibles pour pousser l’agent à récolter ou envoyer des informations à l’extérieur.

L’arrivée d’Atlas a poussé les experts et médias à alerter : sa mémoire et son mode agent rendent la surface d’attaque bien plus vaste qu’un navigateur classique. Il est essentiel de bien gouverner les données, de contrôler ce que l’IA peut effacer ou retenir, et d’imposer des limites à ses actions, sous peine de donner trop de pouvoir à un assistant pas toujours prévisible.

Comment protéger son environnement numérique

Trois grands paramètres sont à surveiller : l’agent, la mémoire, les connecteurs. Pour l’agent, il faut définir clairement ce qu’il a le droit de faire : pas d’actions automatiques sans validation, et une traçabilité de toutes les décisions pour pouvoir réagir en cas de problème.

Pour la mémoire, limitez sa durée, chiffrez les infos sensibles, séparez les usages afin que l’IA ne mélange pas vos contextes personnels et professionnels. Pour les services connectés (emails, agenda…), réduisez au strict minimum les droits accordés.

Les principaux scénarios d’attaque

Les chercheurs modélisent cinq grandes techniques :

• Injection par URL (commande masquée dans un lien)
• Injection dans une page (contenu invisible mais lisible par l’IA)
• Mémoire exploitée comme canal latéral
• Connecteurs utilisés pour extraire vos documents ou mails
• Automatisation d’actions sensibles (validation de transaction, changement de réglages…)

Le but : faire en sorte que, dans chacun de ces cas, une protection existe afin que l’IA ne puisse agir seule, extraire ou envoyer des données sans contrôle.

Les réglages qui font la différence

1. Lecture seule / lecture-écriture :

Dans Atlas, vous pouvez limiter l’agent à des actions en mode “logged out”, ce qui l’empêche d’écrire ou de modifier des contenus sur votre session ou vos services connectés. Cette option figure clairement dans les paramètres d’agent ou lors du lancement (“logged out” mode : accès limité, “logged in” : accès élargi avec écriture activable).​

2. Accès aux services sensibles (mails, calendrier…) :

Vous contrôlez quels connecteurs (Gmail, agenda, stockage) sont rattachés, souvent via une fenêtre d’autorisation OAuth. Il est fortement recommandé d’ajouter uniquement les services strictement nécessaires, et dans Atlas/Comet, il existe des boutons pour révoquer à tout moment ces accès dans les paramètres.

3. Purge mémoire de l’agent :

Atlas propose un bouton “effacer la mémoire”, Comet aussi. Les mémoires “browser memories” peuvent être réinitialisées, purgées après chaque session (option “auto-delete” ou “clear memory now”).

4. Filtrage des prompts/page/URLs :

Brave et LayerX ont montré que certains moteurs intègrent déjà des filtres anti-injection, et des options pour bloquer ou surveiller les contenus vus par l’agent. Dans Atlas, la visibilité, le résumé ou la mémoire des pages peut être adaptée via des réglages comme ChatGPT page visibility.

5. Isolation d’activité sensible :

Vous pouvez utiliser la navigation privée, lancer l’agent en mode “déconnecté”, ou utiliser des outils de virtualisation/navigateurs à distance (RBI, VDI, etc.).

Prévenir plutôt que guérir: pourquoi faire attention en utilisant les nouveaux navigateurs IA. 

L’architecture de sécurité ne concerne pas que les entreprises. Les utilisateurs particuliers et pros qui adoptent Comet, Atlas ou un navigateur IA doivent valider chaque permission, cloisonner les usages et garder la main sur le pilotage de l’IA et de ce qu’ils lui partagent. Plus l’assistant est intégré au quotidien, plus la vigilance doit être forte quant au contrôle de ses accès et à la mémoire qu’il conserve. Il est nécessaire d’être attentif en amont de l’utilisation. 

Et Reemo dans tout cela, un cadre d’exécution sécurisé

Un cadre d’accès sécurisé côté entreprise doit réunir isolation d’exécution, segmentation réseau, contrôle fin des permissions et traçabilité complète des sessions. Dans cette logique, l’objectif n’est pas d’ajouter un outil de plus, mais d’encapsuler les navigateurs IA dans un périmètre d’accès maîtrisé, observable et révocable, afin d’exploiter leur valeur sans ouvrir un nouveau plan de compromission. Mais n’oubliez pas, il reste indispensable d’être attentif aux différents réglages des navigateurs IA et de que vous leur partagez et aux autorisations et informations que vous leur partagez.