Gérer les risques des extensions de navigateur dopées à l'IA

Parmi tous les risques que l'IA pose à la sécurité des entreprises, les extensions de navigateur basées sur l'IA sont parmi les plus préoccupantes. Comment s'en prémunir ?

Si l’IA existe depuis des décennies, la croissance remarquable de ChatGPT au cours de ces derniers mois a propulsé la technologie dans la conscience collective. Elle a également amené les responsables de la sécurité informatique à s'interroger sur ce qui constitue un niveau de risque acceptable dans ce domaine. Parmi tous les risques que l'IA pose à la sécurité des entreprises, ceux relatifs aux extensions de navigateur dopé à l'IA sont parmi les plus préoccupants.

A l’heure du travail hybride et de la productivité à tout prix, il est essentiel pour les entreprises d’anticiper davantage et d’augmenter leurs capacités à gérer ce nouveau risque. Aujourd'hui, c'est presque exclusivement sur le navigateur que les employés travaillent.

Où est le risque ?

Il est impossible de chiffrer combien d'extensions de navigateur basées sur l’IA existent dans l’écosystème des navigateurs les plus populaires. Une simple recherche rapide sur Chrome Web Store, Microsoft Edge Add-Ons et Firefox Add-Ons en révèle des milliers. Ces extensions étendent les capacités du navigateur pour aider les utilisateurs à améliorer leur grammaire et leur orthographe, simplifier les workflows, extraire des données de pages web, traduire du texte et même convertir du texte brut en code. Mais si ces outils sont utiles, les risques sont tout aussi évidents. De nombreuses extensions sont fausses ou compromises et cachent des logiciels malveillants. En outre, il existe des outils qui permettent d'accéder aux données sensibles de l'entreprise, y compris les courriers électroniques.Certains le font de manière agressive, avec peu ou pas d'avertissement dans les conditions générales.. Cela peut conduire les utilisateurs à partager involontairement ces informations avec le modèle d'IA qui les rend à son tour accessibles à d’autres. A titre d’exemple, Samsung a temporairement interdit à ses employés d’utiliser l'IA generative après que certains développeurs ont accidentellement divulgué du code source de cette manière. Lorsque l’on tient compte des violations liées aux tiers, le risque se multiplie, car un fournisseur de solutions d'IA et/ou d'extensions basées sur l’IA peut lui-même être victime d'une violation, éventuellement par le biais d'une vulnérabilité exploitée dans son code.

Les spécialistes de la sécurité ont également mis en garde contre les attaques par injection rapide. Elles comportent  des pages web conçues pour voler des informations d'entreprise via les plugins des utilisateurs, lorsque des outils d'IA générative explorent ces pages spécifiques.

Il est temps d'actualiser ces politiques

Du point de vue de la cybersécurité et des risques, le défi consiste à trouver le bon équilibre entre la productivité et la sécurité. Les équipes informatiques ne veulent pas interdire purement et simplement l'IA, ce qui la rendrait clandestine, au lieu de la stopper. Les extensions de navigateur sont un exemple de risque positif, si elles contribuent à une valeur ajoutée que les utilisateurs apportent à l’entreprise. Mais les équipes informatiques ne peuvent permettre qu’une extension  conçue comme un moyen détourné de partager des données sensibles.  

Un compromis consisterait à établir une liste des extensions contrôlées et approuvées pouvant être utilisées en fonction du rôle et des risques de l'utilisateur et du système. Cela nécessite que les équipes informatiques soient informées de l'utilisation des appareils personnels et professionnels qui se connectent aux systèmes clés de l’entreprise et qu’elles s'appuient sur la cartographie des classifications de systèmes déjà réalisée.

Google, Microsoft et d'autres pourraient également coopérer en augmentant leur contrôle des extensions et en ajoutant des conseils plus précis sur les risques inhérents à la vie privée et à la sécurité. En définitive, toutes ces mesures dépendent de la propension au risque de l’entreprise. Avec l'IA en marche, il est impératif que les équipes de sécurité considèrent les risques associés aux outils d'IA disruptifs et aux données potentiellement exposées, et qu’elles sensibilisent davantage les employés et les utilisateurs en intégrant les risques des extensions de navigateur dans leurs programmes de formation.