LayerX constate que le navigateur Comet de Perplexity est jusqu'à 85 % plus vulnérable au phishing et aux attaques Web que Chrome
De nouvelles recherches menées par LayerX montrent que les nouveaux navigateurs basés sur l'IA, et en particulier les navigateurs Comet et Genspark de Perplexity, affichent des taux de réussite alarmants en matière de blocage, même pour les sites web d'hameçonnage mal conçus et manifestement malveillants.
Ces résultats, issus des recherches de Paloma Perlov, chercheuse en sécurité chez LayerX, sont cruciaux car ils révèlent une nouvelle menace croissante pour les navigateurs IA. En l'absence de mesures de sécurité adéquates, les utilisateurs de navigateurs IA courent un risque disproportionnément plus élevé d'être victimes d'hameçonnage et d'attaques web, qui pourraient exploiter le moteur d'IA intégré pour voler leurs identifiants et leurs données privées.
Les navigateurs IA sont un nouveau point de contrôle pour l'IA
Les navigateurs IA constituent une interface émergente pour l'utilisation de l'IA. Une nouvelle génération de navigateurs IA, tels que Comet (de Perplexity), Dia (des créateurs du navigateur Arc), Genspark, Edge Copilot, ainsi que les prochains navigateurs d'Opera (Neon) et un navigateur IA, selon certaines rumeurs, d'OpenAI, intègrent l'IA directement dans l'expérience de navigation quotidienne. Cependant, cette nouvelle interface professionnelle crée également une nouvelle menace que les acteurs malveillants peuvent exploiter pour attaquer. voler les informations d'identification et les données des utilisateurs.
De nouvelles recherches techniques menées par LayerX ont révélé que les nouveaux navigateurs IA sont disproportionné Les navigateurs non IA sont les plus exposés au phishing et aux attaques web, contrairement aux navigateurs traditionnels. Parmi les navigateurs IA les plus vulnérables, on trouve Comet et Genspark, qui ont laissé passer plus de 90 % des pages web compromises.
Bien que les navigateurs modernes ne soient pas à l'abri des vulnérabilités web, ils intègrent généralement des mécanismes permettant de filtrer les sites web malveillants connus. Ces mécanismes reposent généralement sur les propriétés de la page (par exemple, l'absence de certificat SSL) ou sur des listes de sites web à risque connus.
Cependant, les recherches de LayerX ont révélé que même ces fonctionnalités n'étaient, pour la plupart, pas implémentées dans Comet et Genspark, ce qui rendait leurs utilisateurs plus vulnérables au phishing et aux attaques web.
LayerX a testé trois nouveaux navigateurs IA : Comet, Genspark et Dia — et les ont comparés aux deux navigateurs non-IA les plus populaires : Google Chrome et Microsoft Edge.
L'équipe de recherche de LayerX a testé chaque navigateur contre les 100 attaques de phishing les plus récentes signalées sur les principaux sites Web de vulnérabilité tels qu'OpenPhish et PhishTank.et vérifié s'ils étaient autorisés à passer. Nous les avons également comparés aux protections de LayerX, déployées via son module complémentaire de navigateur.
Les résultats montrent qu'Edge est le navigateur le plus efficace pour bloquer le phishing et les attaques web dès sa sortie d'usine, avec un taux de réussite de 54 %. Google Chrome arrive en deuxième position avec 47 %, suivi de près par Dia avec 46 %. Comet et Genspark ferment le peloton, avec seulement 7 % chacun.
Cependant, les protections IA intégrées de LayerX atteignent un taux de précision de 98 % dans la détection des tentatives de phishing, montrant comment les protections externes, telles que celles proposées par LayerX, peuvent protéger efficacement les utilisateurs de navigateurs contre le phishing.
La plupart des navigateurs utilisent Google pour le code sous-jacent et la protection contre le phishing.
Pour comprendre comment fonctionnent la plupart des protections contre le phishing des navigateurs, nous devons d’abord comprendre les navigateurs Web.
Chrome est de loin le navigateur le plus populaire aujourd’hui, avec plus de 70 % de parts de marché mondiales.
Cependant, Google rend le code source fondamental de Chrome (à l'exception de certains éléments propriétaires et modules complémentaires) accessible via le projet Chromium. Par conséquent, la plupart des navigateurs web actuels, dont Microsoft Edge, Arc, Brave, Opera et d'autres, sont des dérivés de Chromium. Autrement dit, la plupart des navigateurs web actuels fonctionnent de manière similaire, les différences se situant principalement au niveau de l'interface utilisateur et des fonctionnalités supplémentaires.
Alors que de nouveaux navigateurs IA commencent à émerger, ils sont eux aussi principalement basés sur la fondation sous-jacente de Google : Comet (par Perplexity), Dia (par The Browser Company) et Genspark sont tous basés sur Chromium.
Cependant, outre le code source du navigateur, Google fournit également des fonctionnalités de sécurité Web intégrées pour se protéger contre les sites Web à risque.
Google fournit le navigation sécurisée Service de listes d'URL malveillantes connues. Ces listes sont disponibles via l'API de navigation sécurisée (pour un usage non commercial) ou via le API Web Risk (pour des usages commerciaux).
Google propose deux couches de protections intégrées contre le phishing et les vulnérabilités :
- Listes d'URL connues et incorrectesProtection contre les URL malveillantes connues, basée sur des listes de pages web déjà signalées. Bien que cette protection ne couvre que les URL malveillantes déjà connues et ne protège pas contre les URL de dernière minute et à rotation rapide, elle offre une protection raisonnable contre les sites web malveillants connus. Cette protection se manifeste par le blocage des pages sur fond rouge (pages « bloquées en rouge »).
- Détection des connexions non sécurisées au niveau du réseau : Protection contre les pages dont les certificats TLS/SSL sont défectueux, incomplets ou manquants. Si les erreurs de certificats de chiffrement ne constituent pas en soi une preuve d'activité malveillante, elles indiquent souvent la présence de pages frauduleuses ou falsifiées. Ces erreurs se manifestent par des pages bloquantes sur fond blanc (pages « bloquées blanches »).
Nous avons constaté que la plupart des navigateurs testés (tous dérivés de Chromium) utilisaient, à des degrés divers, la protection sous-jacente de Google. Cependant, LayerX a relevé des variations importantes dans l'étendue de cette utilisation et dans la portée de la protection.
Edge a réalisé les meilleures performances globales, Comet et Genspark sont loin derrière
L'analyse des performances de tous les navigateurs a montré qu'Edge offrait la meilleure protection intégrée contre le phishing, avec un taux de précision de 54 %. Edge était le seul navigateur à ne pas utiliser les protections anti-phishing de Google. Bien que leurs résultats soient globalement similaires dans leur évaluation d'environ 80 % des sites web, nous avons constaté que pour environ 14 % des sites, Edge avait un avantage, tandis que Chrome était plus précis dans l'identification des incidents de phishing pour environ 6 % des sites web.
Bien qu'Edge n'ait bloqué qu'un peu plus de la moitié des sites web dangereux testés, il a offert les meilleures performances d'usine de tous les navigateurs testés, surpassant Chrome. Cela signifie que les utilisateurs d'Edge (et du mode Edge Copilot) sont les mieux protégés parmi les navigateurs commerciaux et IA (sans protection externe contre le phishing, bien sûr).
Chrome, la référence du secteur, a bloqué moins de la moitié des sites malveillants testés, soit 47 %. Bien que les mécanismes intégrés de Chrome se soient avérés efficaces dans près de la moitié des cas, ce test démontre que ces mécanismes, pourtant présents dans le navigateur le plus populaire au monde, laissent passer plus de la moitié des tentatives d'hameçonnage, exposant ainsi les utilisateurs à des risques.
De plus, les protections de navigation sécurisée de Chrome s'appuyant sur des listes d'URL malveillantes connues, elles exposent par définition les utilisateurs à de nouvelles attaques de phishing « zero-day » non encore signalées et non répertoriées dans les flux de renseignements sur les menaces de sites web à risque. De plus, même de légères modifications d'URL peuvent rendre cette identification inopérante, les attaquants déploient de plus en plus de kits de phishing avec des URL à rotation rapide et à durée de vie courte, de sorte qu'au moment où l'URL est signalée, ils ont déjà migré vers une nouvelle URL. Par conséquent, les protections contre le phishing nécessitent une approche plus dynamique, s'appuyant sur l'analyse du contenu et du contexte des pages, et pas seulement sur la réputation des URL.
Dia, qui a correctement identifié 46 % des sites web d'hameçonnage, était quasiment à égalité avec Chrome, ce qui indique qu'ils implémentent pleinement les API de navigation sécurisée de Google. Pratiquement toutes les pages bloquées par Chrome l'ont été par Dia, et inversement. À l'inverse, les pages non bloquées par Chrome ont également été autorisées sur Dia. Globalement, les deux navigateurs étaient en concurrence dans 97 % des cas. Dans les deux cas, les actions de blocage reposaient principalement sur le marquage de l'URL comme non sécurisée, via les pages « bloquées en rouge ».
Les légères variations (environ 3 % des cas) que nous avons identifiées dans la protection anti-hameçonnage de Dia par rapport à Chrome sont dues à de légers décalages entre nos tests et la mise à jour des URL malveillantes dans les listes de Google. Globalement, nos recherches indiquent que les utilisateurs de Dia bénéficient d'un niveau de sécurité comparable à celui de Google Chrome.
Malheureusement, on ne peut pas en dire autant des autres navigateurs basés sur l'IA.
Comet et Genspark ont montré des lacunes majeures en matière de protection
Les recherches de LayerX montrent que Comet et Genspark présentent tous deux des lacunes majeures en matière de protection contre les attaques de phishing.
Après avoir analysé 100 sites web de phishing, il apparaît que ni Comet ni Genspark n'appliquent les protections de navigation sécurisée de Google contre les pages malveillantes connues. Dans les deux cas, ils n'ont bloqué que 7 % des pages de phishing connues et n'ont pas réussi à bloquer 93 % des sites de phishing actifs connus.
À titre d'illustration, voici une courte vidéo montrant la performance de Comet, Genspark, Dia et Edge face à une URL malveillante connue. Alors qu'Edge et Dia (selon les listes Google) l'ont bloquée, Comet et Genspark l'ont laissée passer :
Néanmoins, tout n’est pas rose sur tous les navigateurs, et ils ont tous échoué face à un lien de phishing « zero-day » inconnu :
LayerX, en revanche, a pu identifier correctement ces attaques et les bloquer avec une précision de 98 % :
Bien que les sites web malveillants connus soient signalés comme tels sur Chrome et Dia (grâce aux pages de blocage rouge), aucune page d'hameçonnage n'a été bloquée par Comet ou Genspark de cette manière. Cela indique que Comet et Genspark n'appliquent pas les protections de navigation sécurisée de Google et ne permettent pas d'identifier activement les sites web malveillants.
Les quelques pages d'hameçonnage bloquées par Comet et Genspark l'ont été via les pages de connexion non sécurisée (pages de « blocage blanc »). Ces types de blocage ne reposent pas sur l'identification active des pages d'hameçonnage, mais plutôt sur l'identification des erreurs au niveau du réseau.
Il est intéressant de noter que les pages de blocage de Comet incluent une invite aux utilisateurs pour « Activer la protection renforcée pour obtenir le niveau de sécurité le plus élevé de Comet » (voir surligné ci-dessous).
Cependant, cliquer sur ces liens a conduit à une page de paramètres de sécurité où la protection standard « Navigation sécurisée » était déjà soi-disant activée, sans option de sécurité « Renforcée ».
D'après notre analyse, les utilisateurs des navigateurs Comet et Genspark sont disproportionné exposés au phishing et aux pages Web malveillantes, jusqu'à 85 % de plus que les utilisateurs de Chrome, Edge et Dia.
Lorsque l'IA est dans votre navigateur, la protection contre le phishing est plus importante que jamais
L'émergence de navigateurs dotés d'une IA autonome, capables de naviguer sur des sites web, d'effectuer des transactions et d'accéder à des comptes sensibles au nom des utilisateurs, a créé des failles de sécurité sans précédent, rendant les protections anti-phishing robustes plus cruciales que jamais.
Contrairement aux navigateurs traditionnels où les utilisateurs interagissent manuellement avec les sites web, les navigateurs agents fonctionnent avec tous les privilèges utilisateur sur toutes les sessions authentifiées, y compris les comptes bancaires, de santé et de messagerie. Cela crée une surface d'attaque massive où une seule interaction compromise peut avoir des conséquences catastrophiques.
Comme démontré par Les recherches de Brave sur le navigateur Comet de Perplexity, les attaquants peuvent intégrer des instructions malveillantes dans du contenu Web apparemment inoffensif, comme du texte blanc sur fond blanc, des commentaires HTML ou même des commentaires Reddit, qui incitent les assistants IA à effectuer des actions non autorisées.
Ces attaques par « injection indirecte de requêtes » contournent les mécanismes de sécurité web traditionnels, tels que la politique d'origine identique et les protections CORS, car l'IA fonctionne comme un agent utilisateur de confiance. Lorsqu'un navigateur IA traite le contenu d'une page web pour le résumer ou interagir avec lui, des instructions malveillantes dissimulées dans ce contenu peuvent rediriger l'IA afin de voler des identifiants de connexion, accéder à des informations bancaires ou exfiltrer des données sensibles vers des serveurs contrôlés par un attaquant.
Cette vulnérabilité est particulièrement dangereuse car les attaques peuvent se produire via du contenu généré par les utilisateurs sur des plateformes que l'attaquant ne contrôle pas, et l'exécution se fait automatiquement, sans intervention supplémentaire de l'utilisateur, une fois déclenchée. Une simple requête de type « résumé de cette page » peut entraîner la prise de contrôle totale d'un compte ou un vol financier.
Pour ces raisons, il est plus que jamais crucial que les navigateurs IA mettent en œuvre de nouvelles protections spécifiques contre les attaques de phishing. Il s'agit notamment de s'assurer que le navigateur distingue les contenus web fiables des contenus à risque, d'identifier les attaques de phishing connues et inconnues, et de minimiser la surface de risque pour les utilisateurs de navigateurs IA.
Résumé : C'est un nouveau monde de navigateurs IA effrayant.
L’émergence de nouveaux navigateurs d’IA agentique, tout en offrant de nouvelles fonctionnalités puissantes, introduit également des risques de sécurité importants.
Comme le démontrent les recherches de LayerX, les navigateurs basés sur l'IA, tels que Comet de Perplexity et Genspark, présentent une carence importante en matière de protection anti-phishing intégrée, ce qui les rend jusqu'à 85 % plus vulnérables que Chrome. Ce constat est particulièrement préoccupant compte tenu de leur capacité à interagir de manière autonome avec le contenu web et les comptes utilisateurs sensibles, ouvrant ainsi la voie à de nouvelles attaques comme les injections de requêtes indirectes. Ils nécessitent donc de toute urgence des couches de protection supplémentaires.
Bien que des navigateurs comme Microsoft Edge et Google Chrome offrent un certain niveau de sécurité contre les menaces connues, leurs protections sont souvent insuffisantes face aux attaques « zero-day » en constante évolution. Ceci souligne l’impérieuse nécessité pour les développeurs de navigateurs IA de privilégier des mécanismes de sécurité robustes et dynamiques afin de protéger les utilisateurs contre les nouvelles formes d’attaques web.
Pour les utilisateurs et les entreprises qui adoptent de nouveaux navigateurs IA, ces résultats soulignent l’importance de faire preuve d’une extrême prudence avec les navigateurs IA et d’augmenter leur protection avec des mesures de sécurité supplémentaires.
Pour plus d'informations sur la manière dont LayerX peut vous protéger contre les attaques de phishing sur n'importe quel navigateur, planifier une démo aujourd'hui.
