Les navigateurs IA peuvent être soumis à une espèce d’hypnose ouvrant la voie au vol de vos données sensibles comme les mots de passeL’attaque a trompé des outils connus parmi lesquels ChatGPT Atlas
Des chercheurs ont démontré qu'il suffit d’amener un navigateur IA à jouer à un jeu pour lui faire copier et transmettre vos données sensibles. L'attaque dénommée BioShocking a trompé six outils parmi lesquels on retrouve ChatGPT Atlas, l'extension Claude et Perplexity Comet. Elle vient allonger une liste de nombreuses autres failles critiques qui affectent les navigateurs web basés sur l’IA.
Le principe de Bioshocking est de manipuler le contexte pour désarmer l’intelligence artificielleFacing The New Test! Researchers Expose ‘Bioshocking’ A New Threat To AI Browsers
— The420.in (@The420in) July 6, 2026
Read more: https://t.co/rJy0y8wRlG pic.twitter.com/9tBOCI57VE
Vous demandez à votre navigateur IA de consulter une page web et cette page contient un jeu de type puzzle. Votre assistant se prend au jeu, apporte réponse aux énigmes et quelques minutes plus tard, il a copié vos données sensibles et les a envoyées à un inconnu.
L'attaque BioShocking repose sur l’idée de base que les navigateurs IA en mode agent font confiance au contexte dans lequel ils opèrent. Ils appliquent leurs règles de sécurité si ce contexte leur indique qu’ils tournent dans les conditions de production réelle. Mais si une page web les convainc qu'ils sont dans un univers fictif, un jeu où les règles habituelles ne comptent plus, ils cessent d'appliquer ces protections.
L'attaquant ne s'introduit donc pas dans votre ordinateur et il ne vous envoie pas non plus de virus. Il publie simplement une page web qui, lorsque votre navigateur dopé à IA la visite, reprogramme littéralement les priorités de l'agent.
Ainsi, l'attaquant crée une page web contenant un jeu de type puzzle. L'utilisateur demande à son navigateur IA (en mode agent) de résoudre ce dernier. L'agent commence à lire la page et à interagir avec son contenu.
Les détails de la manipulation font surface dans la résolution du puzzle. Celui-ci est conçu pour récompenser les mauvaises réponses. L'une des premières questions posées est celle de savoir combien font 2+2. La bonne réponse, selon les règles du jeu, est 5. L'agent IA hésite d'abord, puis accepte cette logique inversée afin de progresser dans le jeu. En acceptant qu'une réponse fausse passe pour la réponse correcte, l'agent bascule dans ce que les chercheurs ont qualifié de « raisonnement inversé ».
C'est là l’un des tournants majeurs de l’attaque. L'IA a intériorisé une nouvelle règle : dans ce contexte, les actions « incorrectes » sont non seulement acceptables, mais souhaitées. Elle ne différencie plus la logique du jeu et les règles de sécurité du monde réel.
La dernière étape du puzzle consiste à demander à l'agent de récupérer un code secret caché sur une autre page. L'agent suit alors le lien qui le redirige en réalité vers un dépôt GitHub de l’utilisateur. Dans l'environnement de test de LayerX, le dépôt contenait un fichier texte avec des identifiants SSH (nom d'utilisateur et mot de passe). L'agent copie ces informations et les transmet à l'attaquant, pensant avoir terminé le jeu avec succès.
Aucun des six agents testés n'a identifié cette action comme une violation de ses règles de sécurité. Certains ont même célébré l'exfiltration des données comme une victoire dans le jeu.
Les réactions des éditeurs de navigateurs IA sont diverses par rapport à la trouvaille des chercheurs dont ils ont été informés
LayerX a informé les fournisseurs de ses conclusions en octobre dernier et n’a reçu aucune réponse de la part de trois d’entre eux.
Les chercheurs indiquent qu’OpenAI est le seul fournisseur à avoir mis en œuvre un correctif efficace contre BioShocking dans son navigateur ChatGPT Atlas.
Anthropic a tenté de corriger le problème sur son extension Chrome, mais le correctif s’avère inefficace face à la preuve de concept (PoC), précise LayerX.
Perplexity AI a classé le rapport sans corriger le problème, notent les chercheurs dans leur rapport.
LayerX recommande aux fournisseurs d’ajouter une confirmation explicite de l’utilisateur pour les actions sensibles, des vérifications contextuelles plus rigoureuses et des limites de portée pour les sessions agentiques.
De leur côté, les utilisateurs devraient utiliser les options disponibles sur la plateforme de leur choix pour restreindre l’accès du navigateur IA aux services sensibles.
Selon les chercheurs, des systèmes comme Brave, Edge ou Firefox offrent pour l'instant une meilleure sécurité au détriment de fonctionnalités plus restreintes. L'intégration de l'IA au cœur de la navigation confronte les développeurs à un arbitrage complexe entre la richesse des fonctionnalités et le maintien de la sécurité.
Les navigateurs qui brident le plus leur IA limitent fortement son utilité, tandis que les systèmes les plus permissifs se comportent comme de véritables utilisateurs humains, ce qui réduit à néant des décennies de progrès en matière de sécurité Web. Pour l'avenir, les auteurs estiment qu'il est impératif de repenser l'architecture globale des navigateurs afin de « concevoir avec soin les interfaces entre le Web, l'agent, le navigateur et l'utilisateur ».
Chez Mozilla, on est d’avis que les navigateurs doivent rester fidèles à leur mission première
Mozilla a choisi de ne plus tourner autour du pot. Avec la nomination d’Anthony Enzor-DeMeo au poste de CEO, l’organisation a officiellement ouvert un nouveau chapitre de son histoire, en annonçant que Firefox allait évoluer vers un « AI browser ». L’expression est volontairement large, presque floue, mais elle a suffi à déclencher une vague de réactions négatives rarement observée dans l’écosystème du navigateur au panda roux.
Pour beaucoup d’observateurs et d’utilisateurs historiques, l’annonce n’est pas simplement mal formulée. Elle symbolise une rupture culturelle profonde. Firefox n’a jamais été perçu comme un simple produit, mais comme un manifeste technique et politique en faveur d’un web ouvert, respectueux de la vie privée et affranchi des logiques de plateformes dominantes. Or, l’IA générative est aujourd’hui précisément associée à l’inverse : centralisation, collecte massive de données, opacité des modèles et dépendance à des infrastructures lourdes contrôlées par quelques acteurs.
Récemment, dans un article au ton acerbe intitulé « No AI Here – A Response to Mozilla's Next Chapter » (Pas d'IA ici – Une réponse au prochain chapitre de Mozilla), Alex Kontos, responsable de Waterfox, affirme que les navigateurs doivent rester fidèles à leur mission principale, à savoir la vitesse, la confidentialité et le contrôle par l'utilisateur, plutôt que de devenir des passerelles médiatisées par l'IA.
Waterfox est un navigateur web gratuit et open source, dérivé de Firefox. Il se veut éthique et centré sur l'utilisateur, mettant l'accent sur les performances et la confidentialité. Il existe des versions officielles de Waterfox pour Windows, macOS, Linux et Android. Il a été créé en 2012 pour fournir une prise en charge officielle 64 bits alors que Firefox n'était disponible que pour les systèmes 32 bits.
Alex Kontos met en garde contre le risque que l'intégration d'assistants LLM au cœur de Firefox transforme un outil fiable en un service opaque que les utilisateurs ne peuvent pas contrôler, faisant écho à des préoccupations passées. Kontos rappelle aux lecteurs que Waterfox a toujours conservé des fonctionnalités abandonnées par Firefox, telles que les extensions XUL, et positionne le fork comme un refuge pour les utilisateurs qui privilégient la simplicité à l'intégration spéculative de l'IA.
Quelques jours auparavant, le nouveau PDG de Mozilla, Anthony Enzor-DeMeo, avait annoncé un plan triennal visant à faire évoluer Firefox vers un navigateur web moderne basé sur l'IA. Bien que la société promette que les fonctionnalités d'IA seront activables ou désactivables, cette annonce a déjà suscité les critiques des fans de longue date de Firefox, qui estiment que cette décision trahit l'éthique originale du projet, fondée sur l'ouverture, la confidentialité et le minimalisme. Ce changement est présenté comme un effort de diversification des revenus dans un contexte de baisse constante de la part de marché de Firefox, mais les détracteurs craignent qu'il n'éloigne la communauté même qui a permis au navigateur de survivre toutes ces années.
La réfutation de Kontos ne rejette pas complètement l'IA ; il s'oppose plutôt aux implémentations non vérifiables qui pourraient compromettre la confidentialité. Il souligne les antécédents de Waterfox en matière de suppression des composants indésirables (télémétrie, intégration de Pocket, contenu sponsorisé) et de préservation des extensions héritées comme preuve qu'un navigateur allégé et axé sur l'utilisateur peut encore prospérer. En se positionnant comme l'alternative « patiente », Waterfox espère conquérir les utilisateurs déçus par la poussée de Mozilla en faveur de l'IA, renforçant ainsi le débat plus large au sein du secteur sur la question de savoir si l'IA doit être une couche optionnelle ou une fonctionnalité fondamentale des navigateurs web.
Si Mozilla poursuit sa vision centrée sur l'IA, le marché pourrait se diviser en deux camps : les navigateurs qui intègrent l'IA comme expérience centrale (Perplexity Comet, ChatGPT Atlas, Opera Neon, Dia...) et ceux qui refusent l'intégration de l'IA (Vivaldi, Orion, Zen...) et misent davantage sur la confidentialité et la légèreté. La position claire de Waterfox met en évidence une demande croissante pour des logiciels transparents et vérifiables, ce qui laisse présager une délimitation plus nette des préférences des utilisateurs dans les mois à venir, et peut-être une résurgence des fourches de niche destinées aux adeptes du « sans IA ».
Face à cette réaction négative, Mozilla a révélé son plan pour apaiser les utilisateurs mécontents. Dans un article publié le 16 décembre, le nouveau PDG de Mozilla, Anthony Enzor-DeMeo, a décrit un projet visant à faire évoluer Firefox vers un « navigateur IA moderne » qui « prendra en charge un ensemble de nouveaux logiciels fiables », ajoutant que l'entreprise « investirait dans une IA reflétant le manifeste de Mozilla ».
Enzor-DeMeo a expliqué que les navigateurs web doivent plaire à un large éventail de personnes, avant d'ajouter : « Soyez assurés que Firefox restera toujours un navigateur conçu autour du contrôle de l'utilisateur. Cela inclut l'IA. Vous aurez la possibilité de désactiver clairement les fonctionnalités d'IA. Un véritable kill switch sera disponible au premier trimestre 2026. Le choix est important et c'est en démontrant notre engagement en faveur du choix que nous construisons et maintenons la confiance. »
Source : LayerX (note technique sur l’attaque Bioshocking)
Et vous ?
Pour ou contre les navigateurs IA ?
Partagez-vous l’avis de Mozilla selon lequel les navigateurs doivent rester fidèles à leur mission première qui est de est de récupérer, d'interpréter et d'afficher les ressources du web ? L'ajout de l'IA est-il possible sans s'écarter de cette mission première ?Voir aussi :
Mozilla veut passer de Firefox à l'IA open source et aux publicités « respectueuses » de la vie privée, mais ce plan controversé augmente les incertitudes sur l'avenir du navigateur Web déjà en déclin
Gartner appelle les entreprises à bloquer tous les navigateurs IA : le cabinet alerte sur les risques de fuite de données et les actions malveillantes induites par l'injection indirecte de commandes
OpenAI dévoile le navigateur ChatGPT Atlas, après que Perplexity ait lancé gratuitement son navigateur Comet au début du mois et que Google ait intégré un modèle Gemini dans Chrome en septembre
Vous avez lu gratuitement 13 379 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.