Une faille de Firefox expose les utilisateurs au vol de données personnelles via l’IA
Une vulnérabilité récemment découverte dans le navigateur Mozilla Firefox pourrait permettre à des attaquants de voler des informations sensibles, notamment des e-mails, en exploitant l’intégration des chatbots d’intelligence artificielle (IA). Florian Port, chercheur à la société allemande de cybersécurité ERNW, a démontré comment une simple requête de résumé de page peut être détournée pour exfiltrer des données personnelles.
Contexte factuel
Firefox propose des fonctionnalités d’IA telles que le résumé, l’explication ou la correction de texte, accessibles via une barre latérale. Lorsqu’un utilisateur demande un résumé, Firefox génère une requête contenant le titre de la page, le contenu sélectionné, et une instruction pour traiter le texte. La vulnérabilité réside dans le fait que le titre de la page, contrôlé par le site web visité, est directement inséré dans la requête envoyée à l’IA. Cela permet à un site malveillant de manipuler cette requête en injectant des instructions cachées.
Port souligne que des titres longs peuvent dissimuler cette injection, rendant la détection difficile pour l’utilisateur. Par exemple, un titre comme « Les canards — Un guide d’une page sur ces magnifiques animaux » peut masquer une chaîne d’injection.
Données ou statistiques
Cette faille a été signalée à Mozilla en octobre 2025. Le correctif proposé consiste à limiter la longueur du titre de page intégré dans la requête, mais la cause racine de la vulnérabilité persiste, car d’autres applications pourraient également être affectées.
Conséquence directe
Les implications de cette vulnérabilité sont significatives, car des informations telles que des codes de vérification de deux facteurs, souvent inclus dans les objets d’e-mails, pourraient être récupérées par des attaquants. Les fournisseurs de chatbots, qui considèrent la requête comme une intention délibérée de l’utilisateur, pourraient ainsi faciliter involontairement des actions risquées.
Cette situation souligne la nécessité d’une vigilance accrue concernant la sécurité des données personnelles dans les applications intégrant des fonctionnalités d’IA.
Source : IT-Connect, rapport de Florian Port.
