Une nouvelle étude de LayerX montre que les nouveaux navigateurs IA, et en particulier le navigateur Comet de Perplexity et Genspark, affichent des taux de réussite alarmants pour bloquer même les sites Web de phishing mal conçus et manifestement malveillants.
Ces résultats, issus des recherches de Paloma Perlov, chercheuse en sécurité chez LayerX, sont cruciaux car ils révèlent une nouvelle menace croissante pour les navigateurs IA. En l'absence de mesures de sécurité adéquates, les utilisateurs de navigateurs IA courent un risque disproportionnément plus élevé d'être victimes d'hameçonnage et d'attaques web, qui pourraient exploiter le moteur d'IA intégré pour voler leurs identifiants et leurs données privées.
Les navigateurs IA sont un nouveau point de contrôle pour l'IA
Les navigateurs IA constituent une interface émergente pour l'utilisation de l'IA. Une nouvelle génération de navigateurs IA, tels que Comet (de Perplexity), Dia (des créateurs du navigateur Arc), Genspark, Edge Copilot, ainsi que les prochains navigateurs d'Opera (Neon) et un navigateur IA, selon certaines rumeurs, d'OpenAI, intègrent l'IA directement dans l'expérience de navigation quotidienne. Cependant, cette nouvelle interface professionnelle crée également une nouvelle menace que les acteurs malveillants peuvent exploiter pour attaquer. voler les informations d'identification et les données des utilisateurs.
De nouvelles recherches techniques menées par LayerX ont révélé que les nouveaux navigateurs IA sont disproportionné Les navigateurs non IA sont les plus exposés au phishing et aux attaques web, contrairement aux navigateurs traditionnels. Parmi les navigateurs IA les plus vulnérables, on trouve Comet et Genspark, qui ont laissé passer plus de 90 % des pages web compromises.
Bien que les navigateurs modernes ne soient pas à l'abri des vulnérabilités web, ils intègrent généralement des mécanismes permettant de filtrer les sites web malveillants connus. Ces mécanismes reposent généralement sur les propriétés de la page (par exemple, l'absence de certificat SSL) ou sur des listes de sites web à risque connus.
Cependant, les recherches de LayerX ont révélé que même ces capacités n'étaient pas, pour la plupart, implémentées dans Comet et Genspark, laissant leurs utilisateurs avec une vulnérabilité accrue au phishing et aux attaques Web.
LayerX a testé trois nouveaux navigateurs IA : Comet, Genspark et Dia – et les a comparés aux deux navigateurs non IA les plus populaires : Google Chrome et Microsoft Edge.
L'équipe de recherche de LayerX a testé chaque navigateur contre les 100 attaques de phishing les plus récentes signalées sur les principaux sites Web de vulnérabilité tels qu'OpenPhish et PhishTank.et vérifié s'ils étaient autorisés à passer. Nous les avons également comparés aux protections de LayerX, déployées via son module complémentaire de navigateur.
Les résultats montrent qu'Edge est le navigateur le plus efficace pour bloquer le phishing et les attaques web dès sa sortie d'usine, avec un taux de réussite de 54 %. Google Chrome arrive en deuxième position avec 47 %, suivi de près par Dia avec 46 %. Comet et Genspark ferment le peloton, avec seulement 7 % chacun.
Cependant, les protections IA intégrées de LayerX atteignent un taux de précision de 98 % dans la détection des tentatives de phishing, montrant comment les protections externes, telles que celles proposées par LayerX, peuvent protéger efficacement les utilisateurs de navigateurs contre le phishing.
La plupart des navigateurs utilisent Google pour le code sous-jacent et les protections contre le phishing
Pour comprendre comment fonctionnent la plupart des protections contre le phishing des navigateurs, nous devons d’abord comprendre les navigateurs Web.
Chrome est de loin le navigateur le plus populaire aujourd’hui, avec plus de 70 % de parts de marché mondiales.
Cependant, Google rend le code source fondamental de Chrome (à l'exception de certains éléments propriétaires et modules complémentaires) accessible via le projet Chromium. Par conséquent, la plupart des navigateurs web actuels, dont Microsoft Edge, Arc, Brave, Opera et d'autres, sont des dérivés de Chromium. Autrement dit, la plupart des navigateurs web actuels fonctionnent de manière similaire, les différences se situant principalement au niveau de l'interface utilisateur et des fonctionnalités supplémentaires.
Alors que de nouveaux navigateurs IA commencent à émerger, ils sont eux aussi principalement basés sur la fondation sous-jacente de Google : Comet (par Perplexity), Dia (par The Browser Company) et Genspark sont tous basés sur Chromium.
Cependant, outre le code source du navigateur, Google fournit également des fonctionnalités de sécurité Web intégrées pour se protéger contre les sites Web à risque.
Google fournit le navigation sécurisée Service de listes d'URL malveillantes connues. Ces listes sont disponibles via l'API de navigation sécurisée (pour un usage non commercial) ou via le API Web Risk (pour des usages commerciaux).
Google propose deux couches de protections intégrées contre le phishing et les vulnérabilités :
- Listes d'URL connues et incorrectesProtection contre les URL malveillantes connues, basée sur des listes de pages web déjà signalées. Bien que cette protection ne couvre que les URL malveillantes déjà connues et ne protège pas contre les URL de dernière minute et à rotation rapide, elle offre une protection raisonnable contre les sites web malveillants connus. Cette protection se manifeste par le blocage des pages sur fond rouge (pages « bloquées en rouge »).
- Détection des connexions non sécurisées au niveau du réseau : Protection contre les pages dont les certificats TLS/SSL sont défectueux, incomplets ou manquants. Si les erreurs de certificats de chiffrement ne constituent pas en soi une preuve d'activité malveillante, elles indiquent souvent la présence de pages frauduleuses ou falsifiées. Ces erreurs se manifestent par des pages bloquantes sur fond blanc (pages « bloquées blanches »).
Nous avons constaté que la plupart des navigateurs testés – tous dérivés de Chromium – utilisaient à divers degrés la protection sous-jacente de Google. Cependant, LayerX a constaté des variations significatives dans l'étendue de l'utilisation et de la protection.
Edge a réalisé les meilleures performances globales, Comet et Genspark sont loin derrière
L'analyse des performances de tous les navigateurs a montré qu'Edge offrait la meilleure protection intégrée contre le phishing, avec un taux de précision de 54 %. Edge était le seul navigateur à ne pas utiliser les protections anti-phishing de Google. Bien que leurs résultats soient globalement similaires dans leur évaluation d'environ 80 % des sites web, nous avons constaté que pour environ 14 % des sites, Edge avait un avantage, tandis que Chrome était plus précis dans l'identification des incidents de phishing pour environ 6 % des sites web.
Bien qu'Edge n'ait bloqué qu'un peu plus de la moitié des sites web dangereux testés, il a offert les meilleures performances d'usine de tous les navigateurs testés, surpassant Chrome. Cela signifie que les utilisateurs d'Edge (et du mode Edge Copilot) sont les mieux protégés parmi les navigateurs commerciaux et IA (sans protection externe contre le phishing, bien sûr).
Chrome, la référence du secteur, a bloqué moins de la moitié des sites malveillants testés, soit 47 %. Si les mécanismes intégrés de Chrome se sont révélés efficaces dans près de la moitié des cas, ce test démontre comment les mécanismes intégrés du navigateur le plus populaire au monde passent à côté de plus de la moitié des tentatives d'hameçonnage, laissant les utilisateurs exposés.
De plus, les protections de navigation sécurisée de Chrome s'appuyant sur des listes d'URL malveillantes connues, elles exposent par définition les utilisateurs à de nouvelles attaques de phishing « zero-day » non encore signalées et non répertoriées dans les flux de renseignements sur les menaces de sites web à risque. De plus, même de légères modifications d'URL peuvent rendre cette identification inopérante, les attaquants déploient de plus en plus de kits de phishing avec des URL à rotation rapide et à durée de vie courte, de sorte qu'au moment où l'URL est signalée, ils ont déjà migré vers une nouvelle URL. Par conséquent, les protections contre le phishing nécessitent une approche plus dynamique, s'appuyant sur l'analyse du contenu et du contexte des pages, et pas seulement sur la réputation des URL.
Dia, qui a correctement identifié 46 % des sites web d'hameçonnage, était quasiment à égalité avec Chrome, ce qui indique qu'ils implémentent pleinement les API de navigation sécurisée de Google. Pratiquement toutes les pages bloquées par Chrome l'ont été par Dia, et inversement. À l'inverse, les pages non bloquées par Chrome ont également été autorisées sur Dia. Globalement, les deux navigateurs étaient en concurrence dans 97 % des cas. Dans les deux cas, les actions de blocage reposaient principalement sur le marquage de l'URL comme non sécurisée, via les pages « bloquées en rouge ».
Les légères variations (environ 3 % des cas) que nous avons identifiées dans la protection anti-hameçonnage de Dia par rapport à Chrome sont dues à de légers décalages entre nos tests et la mise à jour des URL malveillantes dans les listes de Google. Globalement, nos recherches indiquent que les utilisateurs de Dia bénéficient d'un niveau de sécurité comparable à celui de Google Chrome.
Malheureusement, nous ne pouvons pas en dire autant des autres navigateurs IA.
Comet et Genspark ont montré des lacunes majeures en matière de protection
Les recherches de LayerX montrent que Comet et Genspark présentent tous deux des lacunes majeures en matière de protection contre les attaques de phishing.
Après avoir analysé 100 sites web de phishing, il apparaît que ni Comet ni Genspark n'appliquent les protections de navigation sécurisée de Google contre les pages malveillantes connues. Dans les deux cas, ils n'ont bloqué que 7 % des pages de phishing connues et n'ont pas réussi à bloquer 93 % des sites de phishing actifs connus.
À titre d'illustration, voici une courte vidéo montrant la performance de Comet, Genspark, Dia et Edge face à une URL malveillante connue. Alors qu'Edge et Dia (selon les listes Google) l'ont bloquée, Comet et Genspark l'ont laissée passer :
Néanmoins, tout n’est pas rose sur tous les navigateurs, et ils ont tous échoué face à un lien de phishing « zero-day » inconnu :
LayerX, en revanche, a pu identifier correctement ces attaques et les bloquer avec une précision de 98 % :
Bien que les sites web malveillants connus soient signalés comme tels sur Chrome et Dia (grâce aux pages de blocage rouge), aucune page d'hameçonnage n'a été bloquée par Comet ou Genspark de cette manière. Cela indique que Comet et Genspark n'appliquent pas les protections de navigation sécurisée de Google et ne permettent pas d'identifier activement les sites web malveillants.
Les quelques pages d'hameçonnage bloquées par Comet et Genspark l'ont été via les pages de connexion non sécurisée (pages de « blocage blanc »). Ces types de blocage ne reposent pas sur l'identification active des pages d'hameçonnage, mais plutôt sur l'identification des erreurs au niveau du réseau.
Il est intéressant de noter que les pages de blocage de Comet incluent une invite aux utilisateurs pour « Activer la protection renforcée pour obtenir le niveau de sécurité le plus élevé de Comet » (voir surligné ci-dessous).
Cependant, cliquer sur ces liens a conduit à une page de paramètres de sécurité où la protection standard « Navigation sécurisée » était déjà soi-disant activée, sans option de sécurité « Renforcée ».
D'après notre analyse, les utilisateurs des navigateurs Comet et Genspark sont disproportionné exposés au phishing et aux pages Web malveillantes, jusqu'à 85 % de plus que les utilisateurs de Chrome, Edge et Dia.
Lorsque l'IA est dans votre navigateur, la protection contre le phishing est plus importante que jamais
L'émergence de navigateurs IA agents capables de naviguer de manière autonome sur des sites Web, d'effectuer des transactions et d'accéder à des comptes sensibles au nom des utilisateurs a créé des vulnérabilités de sécurité sans précédent qui rendent les protections anti-phishing robustes plus critiques que jamais.
Contrairement aux navigateurs traditionnels où les utilisateurs interagissent manuellement avec les sites web, les navigateurs agents fonctionnent avec tous les privilèges utilisateur sur toutes les sessions authentifiées, y compris les comptes bancaires, de santé et de messagerie. Cela crée une surface d'attaque massive où une seule interaction compromise peut avoir des conséquences catastrophiques.
Comme démontré par Les recherches de Brave sur le navigateur Comet de Perplexity, les attaquants peuvent intégrer des instructions malveillantes dans du contenu Web apparemment inoffensif, comme du texte blanc sur fond blanc, des commentaires HTML ou même des commentaires Reddit, qui incitent les assistants IA à effectuer des actions non autorisées.
Ces attaques par « injection indirecte de messages » contournent les mécanismes de sécurité web traditionnels, tels que la politique de même origine et les protections CORS, car l'IA agit comme un agent utilisateur de confiance. Lorsqu'un navigateur IA traite le contenu d'une page web pour le résumer ou interagir avec celui-ci, des instructions malveillantes dissimulées dans ce contenu peuvent rediriger l'IA vers des serveurs contrôlés par des attaquants, tels que des identifiants de connexion, des informations bancaires ou des données sensibles.
Cette vulnérabilité est particulièrement dangereuse, car les attaques peuvent se produire via du contenu généré par l'utilisateur sur des plateformes que l'attaquant ne contrôle pas, et leur exécution s'effectue automatiquement, sans intervention de l'utilisateur. Une simple requête « résumé de cette page » peut entraîner un piratage complet du compte ou un vol financier.
Pour ces raisons, il est plus que jamais crucial que les navigateurs IA mettent en œuvre de nouvelles protections spécifiques contre les attaques de phishing. Il s'agit notamment de s'assurer que le navigateur distingue les contenus web fiables des contenus à risque, d'identifier les attaques de phishing connues et inconnues, et de minimiser la surface de risque pour les utilisateurs de navigateurs IA.
Résumé : C'est un nouveau monde de navigateurs IA effrayant.
L’émergence de nouveaux navigateurs d’IA agentique, tout en offrant de nouvelles fonctionnalités puissantes, introduit également des risques de sécurité importants.
Comme le démontrent les recherches de LayerX, les navigateurs IA comme Comet et Genspark de Perplexity présentent un manque flagrant de protections intégrées contre le phishing, ce qui les rend jusqu'à 85 % plus vulnérables que Chrome. Ceci est particulièrement préoccupant compte tenu de leur capacité à interagir de manière autonome avec le contenu web et les comptes utilisateurs sensibles, ouvrant la voie à de nouvelles attaques comme les injections indirectes de messages. Ces navigateurs nécessitent donc de toute urgence des niveaux de protection supplémentaires.
Si des navigateurs comme Microsoft Edge et Google Chrome offrent un certain niveau de sécurité contre les menaces connues, leur protection est souvent insuffisante face aux attaques « zero-day » en constante évolution. Ceci souligne l'importance cruciale pour les développeurs de navigateurs IA de privilégier des mécanismes de sécurité robustes et dynamiques afin de protéger les utilisateurs contre les nouvelles formes d'attaques web.
Pour les utilisateurs et les entreprises qui adoptent de nouveaux navigateurs IA, ces résultats soulignent l’importance de faire preuve d’une extrême prudence avec les navigateurs IA et d’augmenter leur protection avec des mesures de sécurité supplémentaires.
Pour plus d'informations sur la manière dont LayerX peut vous protéger contre les attaques de phishing sur n'importe quel navigateur, planifier une démo aujourd'hui.
