Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Why the browser is now the front line for AI security

2 minute de lecture

Mis à jour :

Le navigateur, nouveau champ de bataille de la cybersécurité face à l’IA

Les équipes de sécurité font face à une double menace convergente : l’utilisation malveillante de l’IA par les cybercriminels et l’adoption incontrôlée d’outils d’IA par les employés (Shadow AI). Ces deux problématiques se cristallisent au sein du navigateur web, devenant le point d’entrée privilégié des attaques et la zone de fuite de données la plus vulnérable.

Points clés :

  • Accélération des attaques : L’IA permet aux attaquants de générer des kits de phishing (PhaaS), de modifier rapidement des infrastructures et de créer des leurres convaincants bien plus vite que ne peuvent le faire les listes de blocage (IoC) traditionnelles.
  • Contournement des défenses classiques : Les attaques modernes (ClickFix, InstallFix, ConsentFix, détournement de codes d’appareil) exploitent des flux OAuth légitimes et des canaux hors-email (SEO, publicités malveillantes) pour échapper à la sécurité périmétrique.
  • Risques liés à l’IA en entreprise : L’usage d’applications d’IA non approuvées, d’extensions de navigateur douteuses et de connexions OAuth non supervisées expose les données sensibles à des exfiltrations via le presse-papiers ou des agents IA trop permissifs.
  • Obsolescence des IoC : La majorité des domaines de phishing ne sont actifs que quelques jours, rendant les solutions basées sur la réputation des domaines et adresses IP inefficaces.

Vulnérabilités identifiées :

  • OAuth Supply Chain Attacks : Utilisation d’intégrations tierces compromises (ex: brèches Vercel, Salesloft) pour obtenir un accès persistant aux environnements cloud des entreprises.
  • Attaques “Browser-Native” : Menaces s’exécutant entièrement dans le navigateur sans toucher au système d’exploitation de l’hôte, rendant les EDR classiques aveugles.

Recommandations :

  • Prioriser la visibilité dans le navigateur : Adopter une solution capable d’analyser le comportement des sessions, l’exécution des scripts et les interactions utilisateur (copier-coller, téléchargements, consentements OAuth) plutôt que de simples listes de blocage.
  • Gouvernance de l’IA : Centraliser le contrôle des extensions et des applications IA pour forcer l’usage des comptes d’entreprise (avec journaux d’audit) au détriment des comptes personnels.
  • Exigences lors du choix d’une solution :
    • Exiger la collecte de télémétrie complète (y compris les événements autorisés, pas seulement les violations).
    • Vérifier la capacité à analyser les portées (scopes) détaillées des demandes OAuth.
    • Assurer l’intégration des données de session brutes vers le SIEM pour permettre une réelle investigation.
  • Détection comportementale : Miser sur des outils capables de détecter des anomalies sans signature prédéfinie, en analysant la manipulation du DOM ou des flux de données suspects en temps réel.

Source

Vous pourriez aimer