L’arrivée de ChatGPT Atlas, le navigateur web dopé à l’IA d’OpenAI, suscite un intérêt massif… et des inquiétudes tout aussi fortes. En quelques jours, chercheurs en cybersécurité, ONG et spécialistes de la protection des données ont mis au jour des failles potentielles, des risques structurels et des dérives déjà observées dans des tests réels. Les experts pointent une surface d’attaque inédite et un modèle de collecte de données jugé problématique.
ChatGPT Atlas, Comet de Perplexity… Les risques de « prompt injection »
Dès son lancement, ChatGPT Atlas a été examiné sous l’angle de la sécurité informatique. Plusieurs vulnérabilités ou scénarios d’attaque mis en lumière laissent penser que l’agent IA intégré au navigateur, en particulier, peut être amené à exécuter des actions dangereuses ou malveillantes. Pour rappel, un agent est une fonctionnalité permettant à l’IA d’effectuer des tâches à votre place, en prenant le contrôle de votre navigateur : par exemple, naviguer sur le web pour trouver des billets d’avion, etc.
Les spécialistes soulignent notamment le risque d’injection de prompt. Elle consiste à dissimuler une instruction dans le contenu d’une page web (code masqué, texte invisible sur un fond ou une image piégée) afin de pousser l’agent à réaliser une action non prévue. Selon Adrien Merveille, directeur technique de la société Check Point dont les propos sont rapportés par La Tribune, cela peut suffire à « interagir avec le moteur d’intelligence artificielle pour lui faire faire quelque chose qu’il n’est pas censé faire ».
La technique avait déjà été testée contre Comet de Perplexity, un autre navigateur IA, sorti avant Atlas. L’équipe de Brave, une société ayant créé un navigateur open-source, a montré que Comet pouvait exécuter des commandes cachées dans des images lors d’une simple capture d’écran. Même si Perplexity affirme, depuis, avoir corrigé la faille.
Ce type d’attaque peut théoriquement mener à l’exfiltration de données sensibles (mots de passe, etc.), à l’ouverture de pages de phishing ou à la manipulation d’informations personnelles. Simon Willison, développeur britannique, affirme que « les risques liés à la sécurité et à la confidentialité [lui] semblent encore insurmontables ».
Des premières possibilités d’attaques sur Atlas ont déjà été révélées. La société NeuralTrust a documenté une méthode de prompt injection grâce à une fausse URL envoyée dans l’omnibox, la barre de saisie multitâches (recherche, adresse web, instruction) du navigateur. Ressemblant à une adresse mais avec un format légèrement erroné, elle est interprétée comme une demande à l’IA. Les chercheurs montrent qu’un simple bouton « Copier le lien » pourrait suffire à faire exécuter une commande intrusive, comme l’ouverture d’un site frauduleux ou la suppression de fichiers en ligne.
« Un cauchemar pour la vie privée » : la collecte massive de données des navigateurs IA
Au-delà des failles techniques, la philosophie même d’Atlas pose problème à de nombreux observateurs. Le navigateur est conçu pour établir une mémoire personnelle de l’utilisateur : sites consultés, comportements, éléments extraits des pages, contenus… Une grande partie de ces informations est envoyée et stockée sur les serveurs d’OpenAI sous forme de “souvenirs”, afin de proposer une assistance plus contextualisée, même si l’entreprise assure exclure certains types de données (mots de passe, coordonnées bancaires, etc.).
Dans la pratique, cette mémoire se montre insuffisamment filtrée. Une étude menée par Lena Cohen, de l’Electronic Frontier Foundation, révèle qu’Atlas peut conserver des données médicales pourtant classées comme sensibles. Lors de ses tests, le navigateur a retenu qu’un utilisateur avait consulté des services de santé sexuelle et reproductive, et même le nom du médecin contacté.
« L’ampleur de la collecte de données dans Atlas est un cauchemar pour la vie privée des utilisateurs », affirme Cohen.
Si OpenAI assure que l’internaute peut gérer ou supprimer ce que retient Atlas, le fonctionnement reste complexe. Il faut demander explicitement au navigateur de ne pas mémoriser une page, ce qui impliquerait de penser à le faire à chaque visite sensible, ou désactiver totalement la fonction. Compliqué, dans la pratique. Selon Cohen, trop d’utilisateurs ne sauront pas comment configurer correctement la mémoire d’Atlas pour protéger leur vie privée.
Des experts redoutent aussi une captation excessive d’informations au profit d’un unique écosystème. Selon Baptiste Robert, spécialisé en recherche de vulnérabilité, OpenAI pourrait rassembler une « masse considérable d’informations » allant de l’historique aux interactions avec le chatbot, ce qui renforcerait son emprise technologique.
Instructions IA et recherches web : un modèle de navigation difficile à sécuriser
Face aux critiques, Dane Stuckey, Directeur de la sécurité chez OpenAI met en avant leurs mécanismes de défense. Par exemple, des modèles entraînés pour ignorer les instructions malveillantes, des systèmes d’alerte rapide, un mode déconnecté (des comptes) réduisant l’exposition des cookies/identifiants, ou encore un « Watch Mode » pour plus de vigilance en cas d’intervention de l’agent sur un site sensible.
Mais même Stuckey reconnaît que l’injection de prompt reste « une problématique de sécurité ouverte », difficile à résoudre entièrement.
« Il y aura toujours des risques résiduels liés aux prompt injections, car c’est inhérent aux systèmes qui interprètent le langage naturel et exécutent des actions », explique à Fortune, George Chalhoub, professeur assistant au UCL Interaction Centre.
Les spécialistes rappellent aussi que la délégation d’actions à un agent autonome peut augmenter les risques. Ces derniers non seulement peuvent être liés à des attaques volontaires, mais aussi à des hallucinations du modèle, potentiellement capables d’entraîner des commandes malveillantes.
Pour ce qui est des attaques, elles peuvent avoir un grand impact dans le monde du travail ; de plus en plus de professions ayant recours à l’automatisation de tâches, sans vérification humaine. Cameron Mattis, un employé de Stripe a par exemple caché, pour une démonstration, une commande farfelue dans son profil LinkedIn. Résultat : des agents IA autonomes, utilisés par des recruteurs, lui ont envoyé des propositions d’emploi contenant une recette de flan.
Enfin, les possibilités de détournement des agents et navigateurs web IA semblent nombreuses. A tel point que la bataille entre hackeurs et développeurs IA risque d’être sans fin ; jonglant constamment d’un correctif à la découverte d’une nouvelle vulnérabilité. En attendant, les chercheurs appellent à un durcissement des critères de validation des URL, pour éviter certaines injections de prompts, et à une vigilance accrue des utilisateurs.
« Dans le domaine de la sécurité, c’est un jeu du chat et de la souris, donc on peut s’attendre à ce que d’autres vulnérabilités émergent », explique George Chalhoub.
ChatGPT Atlas d’OpenAI et Comet de Perplexity marquent un tournant : ces navigateurs web ne se contentent plus de chercher, mais agissent pour le compte de l’utilisateur. Cette évolution ouvre une nouvelle ère d’assistance… et une nouvelle ère de risques. Entre attaques par prompts cachés et mémoire trop intrusive, experts et ONG appellent à une prudence maximale. OpenAI promet des correctifs et davantage de protections, mais pour l’instant, les problèmes de sécurité d’Atlas sont loin d’être résolus. Et vous, utilisez-vous un navigateur web IA ou êtes-vous trop méfiant pour cela ?
Certains liens de cet article peuvent être affiliés.
Gil, merci pour cet article éclairant ! Les implications de l’IA sur notre vie privée me préoccupent vraiment. J’espère qu’OpenAI trouvera des solutions rapidement pour sécuriser ces outils.
Gil, cet article soulève des points cruciaux sur ChatGPT Atlas. C’est passionnant, mais ces inquiétudes sur la sécurité et la vie privée sont vraiment sérieuses. Hâte de voir comment OpenAI va réagir !
L’arrivée de ChatGPT Atlas ouvre vraiment la porte à des possibilités impressionnantes, mais les inquiétudes en matière de sécurité sont bien réelles. Il faut avancer prudemment dans cette nouvelle ère technologique.
Wow, ce nouvel outil d’OpenAI promet de changer notre manière de naviguer. Mais il est vrai que les risques de sécurité font réfléchir. Trop de données véhiculées !
C’est vraiment fascinant de voir comment ces navigateurs IA évoluent, mais je me demande souvent si nous sommes prêts pour une telle technologie. Qu’en pensez-vous ?