🤖🔎Votre assistant IA est un espion — et Chrome l'a laissé faire
Une vulnérabilité récemment corrigée de Chrome (CVE-2026-0628) a transformé l'assistant IA de Google, Gemini Live, en un outil d'espionnage silencieux.
Des chercheurs de Palo Alto Networks ont découvert une faille de haute gravité dans l'implémentation de Gemini Live par Chrome, le panneau latéral IA conçu pour résumer les pages, exécuter des tâches et comprendre le contenu web en temps réel.
Comment Gemini Live fonctionne
Gemini Live est l'assistant IA de Chrome conçu pour résumer le contenu en temps réel, exécuter des tâches et comprendre les pages web dans leur contexte. Il appartient à la nouvelle génération de navigateurs "agentiques" ou alimentés par l'IA (y compris Atlas, Comet et Copilot dans Edge), qui disposent d'un panneau latéral IA profondément intégré.
Quel est le problème ?
Ce panneau a un accès privilégié à tout ce que l'utilisateur voit et fait dans le navigateur, permettant des actions complexes en plusieurs étapes. Cependant, cette intégration profonde crée également de sérieux risques. La vulnérabilité CVE-2026-0628, corrigée dans Chrome 143, a permis aux extensions avec des permissions declarativeNetRequest d'injecter directement du JavaScript dans le panneau Gemini.
Contrairement à un onglet de navigateur normal, le panneau Gemini s'exécute en tant que composant de navigateur de confiance. Une fois détourné, les attaquants ont obtenu des privilèges considérablement élevés. Le code s'exécutant à l'intérieur pouvait accéder aux fichiers locaux, prendre des captures d'écran de n'importe quelle page (même HTTPS), activer la caméra et le microphone — le tout sans le consentement supplémentaire de l'utilisateur.
En pratique, une extension malveillante avec des permissions de base pourrait :
♦️ Lancer des attaques d'hameçonnage directement depuis votre assistant IA
♦️ Activer votre caméra et votre microphone sans autorisation
♦️ Capturer l'écran de n'importe quelle page HTTPS — le chiffrement n'offre aucune protection
♦️ Accéder à vos fichiers et répertoires locaux comme s'il possédait le système d'exploitation
L'avertissement est clair : les navigateurs IA réécrivent les règles de la sécurité des navigateurs, et les attaquants maîtrisent déjà le nouveau manuel. Dans les environnements d'entreprise, une seule extension malveillante avec accès à votre caméra, à votre microphone et à vos fichiers n'est pas seulement une violation — c'est un état de surveillance complet dans votre poche.
