Nouvels de cryptographie

Pensez-y à deux fois avant d'utiliser le navigateur Comet : Risques pour la sécurité et la vie privée

Le navigateur Perplexity Comet redéfinit la manière dont les utilisateurs effectuent leurs recherches sur le web, mais Perplexity AI n'est pas aussi sûr qu'on pourrait le penser. Les signaux d'alerte sont nombreux : De l'accès étendu à vos données aux failles de sécurité qui permettent à l'IA de suivre des instructions malveillantes. Plongeons-y !

Perplexity Comet browser is not safe: It has security flaws making it vulnerable to prompt injection and CometJacking attacks which is a risk for your privacy.

Au début du mois d'octobre 2025, l'utilisation du navigateur Comet AI de Perplexity, qui coûtait initialement 200 dollars par mois, est devenue gratuite. Le navigateur agent se veut une aide intelligente qui effectue des tâches et navigue sur le web en votre nom. Par exemple, l'IA peut réserver des vols, écrire des courriels ou planifier des itinéraires de voyage, tout cela pendant que vous naviguez. Mais l'IA de Perplexity est-elle vraiment sûre ? Si Comet de Perplexity peut sembler attrayant pour les utilisateurs, il pose de sérieux problèmes de sécurité et de respect de la vie privée. LayerX a averti que le navigateur Comet était vulnérable aux attaques de type CometJacking. Et à y regarder de plus près, le navigateur IA est également un cauchemar en matière de confidentialité des données. Aujourd'hui, nous nous penchons sur les failles de sécurité du navigateur AI, les risques pour la confidentialité des données et les raisons pour lesquelles vous devriez éviter d'utiliser Perplexity Comet.

Comet, le navigateur agentique de Perplexity, présente des failles de sécurité

Les chercheurs en sécurité de LayerX ont découvert qu’il était vulnérable au CometJacking.

Screenshot of tweet by The Hacker News on X: New "CometJacking" turns Perplexity's Comet into an insider threat. Screenshot of tweet by The Hacker News on X: New "CometJacking" turns Perplexity's Comet into an insider threat. CometJacking transforme Comet de Perplexity en une menace interne. Capture d’écran : The Hacker News sur X

Les recherches menées par LayerX ont montré comment les attaquants peuvent réaliser des attaques de type CometJacking dans Comet en cliquant sur une URL malveillante.

Dans le cadre de leurs recherches, ils ont découvert qu’une seule URL malveillante, sans contenu de page malveillant, pouvait permettre à un attaquant d’accéder à des données sensibles exposées dans le navigateur Comet. Lors d’une attaque de type CometJacking, lorsque l’utilisateur clique sur le lien malveillant, des commandes cachées dans l’URL ordonnent à Comet AI d’accéder à la mémoire de l’utilisateur et d’encoder les données à l’aide de base64 avant de les envoyer aux serveurs de l’attaquant.

Par exemple, si un utilisateur demande à Comet de modifier un courriel ou de planifier un rendez-vous dans le calendrier, les métadonnées peuvent être exfiltrées vers l’attaquant. Ce qui est inquiétant, c’est que pour que l’attaque ait lieu, il suffit que l’utilisateur clique sur le lien malveillant qui peut être envoyé par courrier électronique ou affiché sur une page web, par exemple.

Si vous souhaitez voir comment cela se passe, regardez les attaques de LayerX sur YouTube.

Étant donné que les agents d’intelligence artificielle exécutent des tâches et fonctionnent avec tous les privilèges de l’utilisateur dans le cadre de sessions authentifiées, ces attaques pourraient avoir des conséquences effrayantes. Pensez-y : l’agent d’IA a accès à des tâches telles que la réservation de vols, la rédaction et l’envoi de courriels et la commande sur Amazon. Par conséquent, si vous cliquez sur un lien armé, les conséquences pourraient être désastreuses. Sans que vous le sachiez, il pourrait exposer vos données sensibles Comet à l’attaquant qui pourrait les extraire et les exfiltrer.

LayerX a fait part de ses conclusions le 27 août 2025, mais Perplexity les a classées comme n’ayant “aucun impact sur la sécurité”.

Turn ON Privacy in one click.

Une raison supplémentaire d’éviter Comet : Risques liés aux données et à la vie privée

Les deux plus grands risques pour votre vie privée lorsque vous utilisez Perplexity Comet sont l’accès étendu qu’il a à vos données et la façon dont les vulnérabilités de sécurité qui ont été trouvées pourraient conduire à l’exposition ou à l’accès aux données. Lorsque vous autorisez une IA à accéder aux services que vous utilisez, votre vie privée est menacée, mais les risques sont encore plus grands lorsque vous utilisez Comet en raison de ses failles de sécurité.

Par exemple, si vous autorisez le navigateur Comet de Perplexity à accéder à votre courrier électronique, votre boîte aux lettres n’est plus privée. Il en va de même si vous utilisez un rédacteur de courriels d’IA. Le navigateur agentique a besoin d’accéder à vos comptes et services pour pouvoir exécuter des tâches telles que l’envoi de courriels et l’achat de produits. Compte tenu de l’accès étendu dont le navigateur IA a besoin, il est essentiel que le navigateur Comet soit doté d’une sécurité solide, mais c’est précisément sur ce point que le nouvel outil ne brille pas. Le navigateur Comet n’est pas sûr.

Perplexité Comet a également l’intention de collecter des données sur les utilisateurs, et son PDG n’essaie même pas de le cacher :

C’est l’une des autres raisons pour lesquelles nous avons voulu créer un navigateur, car nous voulons obtenir des données en dehors de l’application pour mieux vous comprendre”

Nous prévoyons d’utiliser tout le contexte pour construire un meilleur profil d’utilisateur et, peut-être, par le biais de notre flux de découverte, nous pourrions y afficher des publicités”.

C’est ce qu’a déclaré Aravind Srinivas, PDG de Perplexity, lors d’une interview podcastée par TBPN. Dans cette interview, Srinivas a admis que la raison pour laquelle l’entreprise s’est lancée dans l’exploration des navigateurs à partir de l’IA est de collecter des données sur tout ce que font les utilisateurs en dehors de l’application, afin de vendre des publicités ciblées. Si ce type de modèle commercial vous semble familier, c’est parce qu’il s’agit d’une approche commerciale similaire à celle de Chrome de Google : offrir un service gratuit, suivre les utilisateurs, vendre leurs données et les cibler avec des publicités personnalisées.

Turn ON Privacy in one click.

Compte tenu de la manière dont les autres grands navigateurs technologiques collectent et traitent vos données, il n’est pas surprenant que Srinivas ait déclaré que Perplexity souhaitait créer un navigateur permettant de collecter davantage de données. Mais Comet, le navigateur agentique conçu pour apprendre comment vous pensez et ce que vous faites sur tous les sites, met vos données en danger en raison de ses failles de sécurité.

Plus inquiétant encore, Perplexity ne s’arrête pas à la collecte de données utilisateur en dehors de Comet Browser - elle en veut encore plus. En août 2025, Perplexity AI a fait une offre d’achat de 34,5 milliards de dollars pour Google Chrome pendant le procès antitrust intenté par Google, au cours duquel le ministère américain de la justice a prétendu que Google était en situation de monopole dans le domaine de la recherche. À l’époque, un porte-parole de Perplexity avait déclaré à la BBC que Perplexity voulait acheter le navigateur Chrome de Google et que l’offre proposée marquait un “engagement important en faveur du web ouvert, du choix des utilisateurs et de la continuité pour tous ceux qui ont choisi Chrome”. Mais compte tenu de l’honnêteté effrontée de son PDG au sujet de ses tactiques commerciales, il est plus crédible que l’entreprise d’IA acquière Chrome pour une seule raison : l’accès aux données des utilisateurs, la mine d’or de toutes les entreprises d’IA.

Réflexions finales : S’en tenir à ce que l’on connaît

Oui, l’IA est la nouvelle mode et peut être utile, mais en même temps, vous devez vous demander si cela vaut vraiment la peine d’avoir un navigateur IA qui pourrait potentiellement risquer d’exposer vos données personnelles ou de pirater vos comptes parce que vous avez cliqué sur un lien malveillant ou que l’IA a été trompée.

Pour nous, à Tuta, la réponse est un grand NON.

Tenez-vous en à ce que vous connaissez, et si vous cherchez un navigateur sécurisé, consultez notre guide ici.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.