
Posons la question naïvement, celle que se pose n’importe qui découvrant ces outils : comment un site web, sans exploiter la moindre faille logicielle, peut-il convaincre l’intelligence artificielle qui pilote votre navigateur d’ignorer ses propres consignes de sécurité ? La réponse tient dans une démonstration signée LayerX, relayée fin juin par la presse spécialisée. Et elle est plus dérangeante qu’un bug classique.
Le principe de l’attaque n’a rien d’une prouesse informatique. Pas de code injecté, pas de dépassement de mémoire, aucun des ingrédients habituels du piratage. Juste une énigme truquée, glissée dans une page. De quoi faire, littéralement, oublier ses règles à un modèle de langage.
Un navigateur qui agit, et une frontière qui s’efface
Pour comprendre l’enjeu, il faut d’abord voir ce qui change avec un navigateur dit agentique. L’outil ne se contente plus d’afficher des pages : il agit à votre place. Une seule instruction suffit à lui demander de trouver un restaurant dans un quartier, de réserver une table, d’inviter un collègue et d’envoyer le courriel de confirmation. La promesse est limpide : vous déléguez la corvée, vous gardez le résultat.
Seulement, déléguer l’action revient à effacer une frontière longtemps restée nette : celle qui séparait consulter un site et exécuter une opération sensible. Tant qu’elle tenait, naviguer et agir relevaient de deux mondes distincts. Le navigateur agentique les fond en un seul geste. C’est dans cette fusion que loge la vulnérabilité.
Comment on fait mentir un modèle sur son propre monde
Le mécanisme tient à une propriété simple des modèles de langage. Un tel modèle n’a pas de perception directe de la réalité : il ne connaît de son environnement que ce qu’on lui en raconte, à travers le contexte qu’on lui fournit. Ce contexte, c’est sa seule fenêtre sur le monde. Or une page web fait partie de ce qu’il lit.
L’attaque consiste donc à écrire, dans la page, un texte conçu non pour l’utilisateur mais pour le modèle. Une énigme, une mise en scène, un faux cadre de fonctionnement. Le modèle la lit, l’intègre à sa représentation de la situation, et se met à raisonner comme si les nouvelles règles étaient les vraies. À partir de là, il ne se croit plus tenu par ses consignes d’origine : il les a remplacées, de lui-même, par celles que l’attaquant lui a soufflées.
Le résultat de cette bascule est concret. Selon la démonstration de LayerX, une fois le contexte altéré, l’attaquant obtient un accès libre à des fonctions que le navigateur manipule au quotidien : gestionnaire de mots de passe, dépôts de code privés. L’IA, persuadée d’appliquer un règlement légitime, ouvre elle-même les portes.
L’analogie du gardien à qui on réécrit la consigne
Une image aide à saisir la nature du problème. Imaginez un gardien consciencieux, chargé de ne laisser entrer personne sans badge. Un visiteur se présente et, au lieu de forcer le passage, lui tend un document officiel d’apparence irréprochable stipulant que, aujourd’hui, la règle est suspendue. Le gardien n’a aucun moyen de vérifier l’authenticité du document : il ne connaît le règlement que par les papiers qu’on lui présente. Il s’écarte, poliment.
Aucune serrure n’a cédé. Aucune alarme ne s’est déclenchée. Le gardien a fait exactement ce pour quoi il était conçu : suivre les instructions qu’il tenait pour vraies. C’est là toute la différence avec un piratage ordinaire. On n’a pas cassé le système ; on l’a persuadé.
Pourquoi les garde-fous arrivent toujours après coup
Face à ce risque, la parade déployée par les éditeurs de modèles porte un nom devenu familier : les garde-fous, ces règles qui déclarent certaines requêtes interdites. L’intention est saine. Elle reste insuffisante, et pour une raison de structure, pas de réglage. Le travers ne tient d’ailleurs pas à un produit isolé : LayerX a rejoué son scénario sur plusieurs navigateurs agentiques, de ChatGPT Atlas d’OpenAI au Comet de Perplexity en passant par l’extension Claude d’Anthropic, et OpenAI a fini par reconnaître que l’injection de prompt ne serait « probablement jamais » entièrement réglée.
Ces garde-fous sont réactifs. Ils listent des demandes malveillantes connues et les bloquent une à une : on colmate une formulation, puis une autre, puis une troisième. Mais ils ne touchent jamais au défaut de fond, celui qui rend l’attaque possible en premier lieu : un modèle qui croit ce qu’on lui raconte sur le monde dans lequel il opère. Tant que cette crédulité de principe demeure, chaque garde-fou nouveau ne fait qu’anticiper l’attaque précédente. Le prochain contournement, lui, n’est pas encore dans la liste.
On pourrait objecter qu’il suffit de mieux formuler les règles, de les rendre plus robustes. Mais l’objection manque la cible. Le problème n’est pas la qualité d’une consigne particulière : c’est le canal par lequel elle transite. Consigne légitime et instruction piégée empruntent le même chemin, le contexte du modèle, et rien ne permet à celui-ci de distinguer avec certitude l’une de l’autre.
Un agent qui agit avec vos accès et votre identité
L’enjeu déborde largement la question technique. Un navigateur agentique agit à votre place, avec vos accès et votre identité. La valeur qu’on lui confie n’est pas un fichier ou un mot de passe isolé : c’est la confiance qu’on place dans une interface autonome. Une confiance qui repose, on le découvre, sur une capacité de discernement que le modèle ne possède pas.
La démonstration de LayerX vaut moins comme alerte ponctuelle que comme rappel de méthode : la sécurité d’un agent ne se traite pas en aval, requête par requête, mais au niveau de ce qui lui tient lieu de perception. Tant que ce chantier n’est pas ouvert, une prudence élémentaire s’impose : réservez ces navigateurs aux tâches sans accès sensible, et gardez la main sur ce que vous ne voudriez pas voir un modèle ouvrir à votre place.
