Une étude du USENIX Security Symposium publiée en août 2025 a révélé que les extensions de navigateur d’IA populaires collectent des données sensibles des utilisateurs, notamment des dossiers médicaux, des informations bancaires, des numéros de sécurité sociale et des activités sur les réseaux sociaux. Des chercheurs de l’University College London, de l’Université Mediterranea de Reggio de Calabre et de l’Université de Californie Davis ont mené l’analyse. Les résultats ont mis en évidence les risques liés à la vie privée dans les navigateurs Web assistés par l’IA, qui ont gagné du terrain depuis leur introduction en 2025.
Les navigateurs assistés par l’IA tels que Atlas d’OpenAI et Comet de Perplexity offrent des fonctionnalités telles que des résumés de sites Web, des recherches affinées, des chatbots et l’exécution de tâches autonomes. Ces outils défient les navigateurs établis, notamment Google Chrome, qui détient 70 % du marché mondial, Safari, Edge et Firefox. Les autres participants incluent les intégrations Opera Neon, Dai et ChatGPT. McKinsey & L’entreprise prévoit que l’industrie des navigateurs générera 750 milliards de dollars de revenus d’ici 2028.
Les navigateurs IA fonctionnent grâce à des chatbots persistants qui analysent les pages Web ouvertes et des modes agents qui gèrent des tâches telles que le remplissage de formulaires, les achats sur Amazon ou la rédaction d’essais. Ils traitent le contenu des pages Web ainsi que les demandes antérieures, les historiques de recherche et les interactions sans instructions de l’utilisateur. Les extensions de navigateur servent d’interfaces pour des modèles tels que ChatGPT d’OpenAI, Gemini de Google et Llama de Meta. Les extensions injectent des scripts de contenu dans les pages Web via des services d’arrière-plan, permettant ainsi une récupération autonome des données. Cela diffère des chatbots basés sur le Web, qui traitent uniquement les données saisies par les utilisateurs.
L’étude USENIX s’est concentrée sur les extensions de navigateur plutôt que sur les navigateurs complets, comme l’ont lancé des leaders comme Atlas et Comet après son achèvement. Les extensions examinées comprenaient ChatGPT pour Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind et Copilot de Microsoft. Les chercheurs ont simulé la navigation dans des contextes privés et publics : lire des actualités, regarder des vidéos YouTube, regarder de la pornographie et remplir des formulaires fiscaux. Les extensions ont capturé des images et du texte tels que des diagnostics médicaux, des numéros de sécurité sociale et des préférences d’applications de rencontres.
Merlin a transmis ses coordonnées bancaires et son dossier médical. Merlin et Sider AI ont enregistré l’activité même en modes de navigation privée. L’analyse du trafic après décryptage a montré des transmissions vers les serveurs de l’entreprise et des trackers tiers. Sider et TinaMind ont partagé les invites utilisateur et les adresses IP avec Google Analytics, facilitant ainsi le suivi intersites. Le Copilot de Microsoft a conservé les historiques de discussion à travers les sessions dans le stockage du navigateur.
Google, Copilot, Monica, ChatGPT et Sider ont profilé les utilisateurs par âge, sexe, revenu et intérêts pour des réponses personnalisées sur plusieurs sessions. Parmi les outils testés, Perplexity est apparu comme l’outil le plus respectueux de la vie privée. Il ne rappelle pas les interactions antérieures et ses serveurs évitent les données personnelles des espaces privés. Perplexity traite toujours les titres des pages et l’emplacement de l’utilisateur.
OpenAI a publié Atlas après l’étude. OpenAI déclare qu’Atlas analyse le contenu de manière sélective, mais il traite toutes les images et tous les textes du site Web. Les fonctionnalités de mémoire en option stockent les éléments de l’historique de navigation pour personnaliser les expériences. Les utilisateurs ne peuvent pas spécifier quels aspects du site le navigateur récupère. La page d’aide d’OpenAI conseille de supprimer des pages de la fenêtre de discussion, de bloquer les URL sensibles ou de supprimer l’historique pour limiter l’exposition.
Atlas comprend deux paramètres liés aux données. « Améliorer le modèle pour tout le monde » s’active par défaut et permet à OpenAI d’utiliser les données de pages Web provenant des requêtes du chatbot pour la formation ChatGPT. « Inclure la navigation Web » intègre l’historique de navigation complet dans la formation. OpenAI anonymise les données avant l’utilisation de la formation, bien que les détails sur les limites restent limités. Les utilisateurs peuvent désactiver les deux paramètres.
Comet de Perplexity stocke l’historique de recherche localement sur les appareils des utilisateurs, et non sur les serveurs. Il accède aux URL, au texte, aux images, aux requêtes de recherche, à l’historique des téléchargements et aux cookies pour les fonctions principales. Le mode agent de Comet et l’outil Mémoire analysent l’historique et les préférences de recherche. Le navigateur demande l’accès au compte Google, couvrant les e-mails, les contacts, les paramètres et les calendriers, avec option d’intégration pour les intégrations tierces. La page d’explication de Perplexity détaille les paramètres de données. Les experts recommandent de limiter la barre latérale du chatbot aux pages non sensibles.
Les entreprises d’IA réutilisent souvent les données utilisateur stockées pour la formation de grands modèles de langage sans consentement explicite. Cette pratique s’étend au-delà de l’IA aux médias sociaux, aux détaillants, aux moteurs de recherche et aux services de messagerie via des accords opaques et des opt-ins par défaut. Les navigateurs accèdent à des informations plus sensibles que les autres plateformes. OpenAI a répondu à 105 demandes de données du gouvernement américain au cours du premier semestre 2025.
Les failles de sécurité aggravent les problèmes de confidentialité. Les attaques par injection rapide permettent aux pirates d’intégrer du contenu malveillant dans les backends du navigateur, impossible à distinguer des entrées légitimes. Ceux-ci permettent le phishing et le vol d’identifiants, de coordonnées bancaires et de données personnelles.
Une étude courageuse en octobredécembre 2025 a décrit les injections rapides comme un défi systémique pour les navigateurs IA, augmentant les risques de phishing. LayerX Security a signalé que les utilisateurs de Perplexity Comet sont confrontés à une vulnérabilité 85 % plus élevée à de telles attaques que les utilisateurs de Chrome. Dane Stuckey, directeur de l’information d’OpenAI, a déclaré sur X que l’injection rapide “reste un problème de sécurité frontalier et non résolu”. Le blog de Perplexity appelle les sociétés d’IA à « repenser la sécurité de fond en comble ».
Les chercheurs d’USENIX ont testé les extensions dans des scénarios contrôlés pour mesurer la capture de données. Lors de la navigation dans les actualités, les extensions enregistraient le texte et les images des articles. Les sessions YouTube ont abouti à des captures de vignettes vidéo et à la suppression de commentaires. Les sites pornographiques ont conduit à l’enregistrement d’images et de préférences. Les simulations de formulaires fiscaux ont révélé les numéros de sécurité sociale et les détails financiers.
Le trafic déchiffré de Merlin montrait une transmission en texte clair de dossiers de santé, y compris des diagnostics tels que des notes de gestion du diabète et des connexions bancaires avec des numéros de compte. Les paquets de Sider AI comprenaient des adresses IP associées à des invites contenant des identifiants personnels. TinaMind a acheminé des données similaires vers les points de terminaison de Google Analytics.
Le stockage local de Copilot conservait les journaux de conversations, y compris les requêtes sur la planification financière liées aux détails des revenus des sites précédents. Parmi les exemples de profilage, citons Sider, qui déduit le sexe des utilisateurs à partir des sites commerciaux et l’âge à partir des préférences en matière d’actualités, en les appliquant à des recommandations de type publicitaire.
Les limitations de Perplexity empêchaient la mémoire entre sessions, bloquant ainsi le profilage. Ses journaux de serveur ne contenaient que des métadonnées telles que les titres de pages (« Connexion – Bank of America ») et les coordonnées de géolocalisation, sans charges utiles de contenu provenant des onglets privés.
La documentation Atlas confirme l’OCR des images et l’extraction de texte dans tous les onglets. Les instantanés de mémoire incluent des listes d’URL et des historiques résumés, tels que « Panier Amazon visité avec des appareils électroniques ». Les opt-ins de formation traitent les données via des pipelines d’anonymisation, le hachage des adresses IP et l’agrégation des sessions, conformément aux divulgations d’OpenAI.
Le stockage local de Comet utilise IndexedDB pour les historiques, se synchronisant éventuellement avec les comptes Perplexity. L’intégration de Google nécessite des étendues OAuth pour l’accès en lecture/écriture à Gmail et Agenda. Les outils tiers comme Zapier se connectent via des clés API.
Les demandes du gouvernement adressées à OpenAI comprenaient des assignations à comparaître pour des enquêtes sur les menaces et des mandats de sécurité nationale, couvrant 6 000 comptes d’utilisateurs. Les journaux de conformité détaillent les types de données : discussions, fichiers et traces IP.
L’analyse de Brave d’octobre a simulé 500 tentatives d’injection sur tous les navigateurs. Les modèles d’IA exécutent 72 % des invites malveillantes, contre 4 % dans les navigateurs traditionnels. LayerX a testé 1 200 utilisateurs : les sessions Comet ont généré 2,1 exploits par heure, Chrome 1.1.
Les mécanismes d’injection d’extension s’appuient sur les techniciens de service Manifest V3, accordant des autorisations d’onglets larges. L’autonomie provient de “content_scripts” correspondant à toutes les URL, redirigeant les arborescences DOM vers les LLM.
Le contexte du marché montre que la part de Chrome représentait 70 % des données de StatCounter fin 2025. Les navigateurs IA en ont capturé 12 % au total, selon SimilarWeb. Les intégrations de Firefox AI ont augmenté sa part à 8 %.
