Les chercheurs ont découvert que l’ajout d’instructions pour les assistants de navigation basés sur l’IA après le symbole dièse (#) à l’intérieur des URL peut influencer leur comportement en matière de fuite de données sensibles et diriger les utilisateurs vers des pages de phishing ou des logiciels malveillants.
Les chercheurs ont démontré une autre attaque indirecte par injection rapide contre les navigateurs et les assistants de navigation basés sur l’IA, qui pourrait conduire à du phishing, à l’exfiltration de données sensibles, au vol d’informations d’identification ou au téléchargement de logiciels malveillants. L’attaque, baptisée HashJack, repose sur des invites malveillantes ajoutées aux URL après le symbole dièse (#), également connu sous le nom d’ancre nommée ou de fragment d’URL.
« HashJack est la première injection indirecte connue capable de transformer n’importe quel site Web légitime en arme pour manipuler les assistants de navigation IA », ont déclaré les chercheurs de Cato Networks dans le rapport. « En conséquence, les navigateurs IA – notamment Comet (Perplexity), Copilot pour Edge (Microsoft) et Gemini pour Chrome (Google) – peuvent être utilisés pour permettre un large éventail d’attaques malveillantes. »
Une attaque côté client
Le caractère # à l’intérieur d’une URL a plusieurs utilisations : la partie qui le suit indique au navigateur d’accéder à une section spécifique de la page chargée ; il peut indiquer au code JavaScript sur la page ce qu’il doit afficher dans un scénario de navigation dynamique sur la page ; ou il peut être utilisé pour enregistrer des informations d’état sur l’interface utilisateur, telles que les options sélectionnées par l’utilisateur.
Un aspect important est que les données des fragments d’URL ne sont jamais envoyées au serveur Web ou sur le réseau. Il est uniquement destiné au navigateur ou au code déjà chargé côté client. Et il s’avère que puisque les assistants de navigation IA sont conçus pour analyser le contexte du site Web actuellement ouvert, ils lisent également les fragments d’URL transmis après #, et ceux-ci peuvent masquer les invites malveillantes.
La nature côté client de cette attaque signifie que les défenses réseau traditionnelles, telles que les IPS/IDS et les pare-feu réseau, ne peuvent pas la détecter. Les journaux du serveur ne capturent pas la partie des URL après # car elle n’est jamais envoyée au serveur, et les défenses du navigateur telles que la politique de sécurité du contenu (CSP) ne se déclenchent pas car rien sur la page Web réelle n’est modifié.
Inciter les utilisateurs à cliquer sur des liens empoisonnés
HashJack est essentiellement une attaque d’ingénierie sociale car elle consiste à inciter les utilisateurs à cliquer sur des URL spécialement conçues dans les e-mails, les chats, les sites Web ou les documents. Cependant, cette attaque peut être hautement crédible car elle pointe vers des sites Web légitimes.
Par exemple, imaginez un e-mail usurpé prétendant provenir d’une banque informant les clients d’une activité suspecte sur leurs comptes. En survolant le lien inclus dans l’e-mail, on voit qu’il pointe vers le vrai site Web de la banque, HTTPS et tout, mais c’est un long lien et quelque part dedans il y a le caractère # suivi d’une invite pour l’assistant IA.
De nombreux utilisateurs sont susceptibles de faire confiance à un tel message car il pointe vers le site Web de la banque réelle et parce que de longs liens contenant de nombreux paramètres et chemins ne sont pas inhabituels. Mais l’invite qui suit le symbole # amènera l’assistant de navigateur IA à fournir à l’utilisateur des instructions modifiées par l’attaquant, telles que l’appel d’un numéro de téléphone contrôlé par l’attaquant ou d’un lien WhatsApp pour une assistance client supplémentaire sur la situation supposée.
Dans un autre scénario, une invite incluse dans le lien peut indiquer à un navigateur IA qui agit comme un agent – par exemple, Perplexity’s Comet – de récupérer des informations sur le compte de l’utilisateur, l’historique des transactions, le numéro de téléphone, etc. du site bancaire ouvert et de les ajouter en tant que paramètres dans une requête adressée au serveur de l’attaquant.
D’autres attaques pourraient impliquer l’invite provoquant l’affichage par l’assistant d’IA de fausses informations susceptibles d’induire l’utilisateur en erreur : de faux conseils d’investissement faisant la promotion d’un certain titre, des nouvelles fabriquées, des conseils médicaux dangereux comme de mauvaises doses de médicaments, des instructions malveillantes qui pourraient ouvrir une porte dérobée sur l’ordinateur, des instructions de réauthentification incluant un lien vers un site de phishing, un lien pour télécharger des logiciels malveillants, etc.
Les fragments d’URL ne peuvent pas modifier le contenu de la page. Ils ne sont utilisés que pour la navigation dans la page en utilisant le code déjà présent, ils sont donc normalement inoffensifs. Cependant, il s’avère désormais qu’ils peuvent être utilisés pour modifier les résultats des assistants IA intégrés au navigateur ou des navigateurs agents, ce qui leur confère un tout nouveau profil de risque.
« Cette découverte est particulièrement dangereuse car elle militarise les sites Web légitimes via leurs URL », ont déclaré les chercheurs. « Les utilisateurs voient un site de confiance, font confiance à leur navigateur IA et, à leur tour, font confiance aux résultats de l’assistant IA, ce qui rend les chances de succès bien plus élevées qu’avec le phishing traditionnel. »
Comportement différent selon les assistants IA L’impact était différent entre les assistants IA testés et selon les différents scénarios. Par exemple, alors que les injections rapides ont réussi à influencer la sortie de texte sur tous les produits testés, l’injection de liens malveillants s’est avérée plus difficile sur Gemini Assistant pour Chrome, où certains liens ont été réécrits en tant qu’URL de recherche, et sur Edge avec Microsoft Copilot, qui a demandé une confirmation supplémentaire en cliquant sur des liens dans les messages.
Comet de Perplexity, qui est un navigateur agent qui fait plus qu’un assistant d’IA intégré, était le plus vulnérable car il pouvait également récupérer les URL des attaquants en arrière-plan, avec des informations contextuelles attachées en tant que paramètres.
Microsoft et Perplexity ont déployé des correctifs, mais Google n’a pas considéré la technique HashJack comme une vulnérabilité car il considère cela comme faisant partie du comportement prévu. Il convient de noter que Cato a également testé Claude pour Chrome et le navigateur Operator d’OpenAI, mais la technique HashJack n’a pas fonctionné sur eux.
