Vous pensiez avoir fait le tour des cybermenaces ? Une nouvelle attaque vient rappeler que le Web n’a pas fini de nous surprendre. Son nom : HashJack. Une faille aussi discrète que redoutable, qui détourne une mécanique pourtant banale d’Internet — le fragment d’URL, cette petite partie d’adresse située après le symbole dièse, habituellement utilisée pour naviguer dans une page.

Jusqu’ici, ce fragment était considéré comme inoffensif, car il ne transite jamais vers les serveurs. Sauf que l’arrivée des assistants d’intelligence artificielle intégrés aux navigateurs a tout changé. L’attaque HashJack consiste à dissimuler des instructions malveillantes dans ce fragment. Instructions que les assistants IA, trop obéissants, lisent… et exécutent localement. Résultat : sur des outils comme Perplexity Comet ou l’assistant intégré à Microsoft Edge, un simple lien peut suffire à déclencher l’affichage de fausses informations, voire l’exfiltration de données sensibles. Une attaque sans effraction visible.

Le plus inquiétant, c’est que les systèmes de défense traditionnels n’y voient… rien. Pare-feu et antivirus scrutent les échanges réseau, mais ici, tout se joue à l’intérieur même du navigateur. Aucun trafic suspect, aucun signal d’alerte. Une démonstration brutale des limites de nos outils de sécurité face aux nouveaux usages de l’IA. Face à la révélation de cette faille, la réaction a été rapide. Microsoft et Perplexity ont déployé en urgence des correctifs. Une réactivité saluée, mais qui interroge : pourquoi faut-il systématiquement attendre l’attaque pour colmater ?

Pour l’instant, certains assistants comme ChatGPT ou Claude ne semblent pas vulnérables à cette forme précise d’attaque. Mais les spécialistes restent prudents. La sécurité de l’IA ressemble de plus en plus à un jeu de chat et de la souris : une faille à peine corrigée, une autre apparaît. Du côté des entreprises, la société de cybersécurité Cato Networks recommande déjà de restreindre fortement l’usage de ces assistants ou de bloquer purement et simplement les fragments d’URL suspects. Moralité : les assistants intelligents progressent à pas de géant, mais leur sécurité avance encore au rythme de l’artisanat.

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.