La société de sécurité SquareX a révélé une technique de spoofing qui utilise des barres latérales IA factices pour voler des mots de passe sans modifier le code du navigateur. Cette méthode contourne les défenses traditionnelles des antivirus et menace des navigateurs comme le nouveau Atlas d'OpenAI. L'attaque trompe les utilisateurs en leur faisant croire qu'ils interagissent avec des assistants IA légitimes.
SquareX, une entreprise de cybersécurité, a divulgué une astuce de spoofing novatrice ciblant les navigateurs intégrés à l'IA. Selon leurs conclusions, les attaquants peuvent créer des barres latérales IA factices qui imitent des interfaces de chat légitimes, incitant les utilisateurs à saisir des mots de passe tout en pensant qu'ils conversent avec un assistant.
La vulnérabilité est particulièrement préoccupante car la méthode de spoofing ne modifie aucun code du navigateur, lui permettant d'échapper à la détection par les logiciels antivirus. Cela signifie que l'attaque opère de manière furtive dans l'environnement du navigateur sans déclencher d'alertes de sécurité.
Le navigateur Atlas récemment lancé par OpenAI est mis en avant comme vulnérable, mais SquareX note qu'il n'est pas seul—d'autres navigateurs similaires sont exposés aux mêmes risques de ces attaques de spoofing dangereuses. Cette révélation intervient dans un contexte d'adoption croissante des fonctionnalités IA dans la navigation web, soulevant des questions sur la sécurité de telles intégrations.
Aucune chronologie spécifique pour la découverte n'a été fournie, mais le rapport souligne la nécessité de renforcer les défenses contre les menaces non modifiant le code dans les interfaces pilotées par l'IA.