Chaque année, le rapport Verizon sur les enquêtes relatives aux violations de données sert de référence pour le secteur. Sa valeur ne vient pas seulement des chiffres mis en avant, mais des signaux convergents. Lorsque plusieurs sources indépendantes indiquent le même changement structurel dans les méthodes des attaquants, cette convergence mérite une attention particulière.
Cette année, l’équipe de Keep Aware, qui a contribué au rapport 2026, a pu observer cette convergence en avant-première.
Ce texte détaille les domaines précis où les données du rapport et les propres mesures de Keep Aware sur les navigateurs concordent. Il montre aussi ce que les outils réseau et de terminal ne voient absolument pas.
L’IA fantôme, un risque majeur pour les entreprises
Le rapport Verizon identifie l’IA fantôme comme la troisième action interne non malveillante la plus courante dans les ensembles de données sur la prévention des pertes de données. Ce phénomène a quadruplé par rapport à l’année précédente.
Les employés ne cherchent généralement pas à extraire des données. Ils utilisent plutôt l’outil le plus rapide pour accomplir une tâche. Ils collent de plus en plus souvent des documents internes ou du code source dans une session personnelle sur ChatGPT, avant que leur organisation n’ait le temps d’approuver et de fournir une alternative contrôlée.
L’ampleur de l’utilisation non autorisée de l’IA dans les environnements d’entreprise constitue l’une des conclusions les plus marquantes du rapport. 67% des utilisateurs accèdent à des services d’IA sur des appareils professionnels via des comptes personnels. 45% des employés sont désormais considérés comme des utilisateurs réguliers de l’IA.
Les mesures de Keep Aware sur les navigateurs précisent comment ces services sont employés. Plus de la moitié des requêtes envoyées à l’IA transitent par des comptes personnels. 23% des transferts de requêtes sensibles impliquent des données qui passent par des comptes personnels ou non vérifiés, échappant ainsi à toute politique de prévention des pertes ou infrastructure de journalisation de l’entreprise.
Les employés collent et téléchargent des données confidentielles dans ChatGPT, Gemini et des dizaines d’autres outils d’intelligence artificielle chaque jour.
L’abus d’identifiants et l’angle mort des navigateurs
Le rapport 2026 constate que 39% des violations impliquaient un abus d’identifiants. Les données d’attaque de Keep Aware pour 2025 placent le vol d’identifiants via le navigateur en tête des attaques de ce type. Ce vecteur représente environ 41% de l’activité malveillante observée, ce qui laisse penser que ces vols contribueront à de futures violations.
Ce vecteur d’attaque est aggravé par un fait. La grande majorité de ces attaques échappe aux outils traditionnels, comme nos données le prouvent.
Dans l’analyse de Keep Aware, 63% des sites d’hameçonnage imitant Microsoft n’étaient signalés par aucun fournisseur sur VirusTotal au moment où un employé y était exposé. Cela révèle un angle mort important dans les flux de renseignements et les outils pour terminaux.
Plus grave encore, 100% des tentatives de vol d’identifiants observées par Keep Aware ont franchi les contrôles de sécurité existants sans être bloquées. Les proxys réseau, les filtres DNS et les agents sur les terminaux sont tous concernés.
Aucun ne les a arrêtées. Le seul point de détection fiable se situe à l’intérieur du navigateur lui-même, là où la page s’affiche et où l’interaction avec l’utilisateur a réellement lieu.
Les extensions de navigateur : des privilèges étendus et non contrôlés
Les modules complémentaires peuvent lire, modifier et interagir avec le contenu de n’importe quelle page. Ils peuvent aussi extraire des données depuis le contexte du navigateur. Cette capacité confère aux extensions un niveau de privilège qui devrait exiger un examen régulier, mais les données racontent une autre histoire.
Le rapport 2026 signale que l’entreprise moyenne comptait plus de 15% d’utilisateurs avec des extensions d’IA non autorisées installées. Cependant, le problème des extensions dépasse le seul cadre de l’intelligence artificielle.
Les mesures de Keep Aware sur les extensions montrent aussi que 13% des extensions uniques observées chez ses clients étaient classées comme présentant un risque élevé ou critique.
La découverte la plus importante sur le plan opérationnel est la suivante : 93% des extensions de mauvaise réputation étaient étiquetées comme outils de « productivité » par les marchés en ligne des navigateurs. C’est précisément la catégorie que la plupart des politiques de liste blanche considèrent comme sûre. Pour cette classe de menace, les listes blanches par catégorie sont donc inefficaces.
ClickFix et l’ingénierie sociale native au navigateur
Le rapport Verizon 2026 et le rapport de Keep Aware sur l’état de la sécurité des navigateurs pointent tous deux ClickFix comme une technique émergente à surveiller.
Le rapport Verizon a constaté que ClickFix représentait 2,7% des attaques détectées par le navigateur. Cette part modeste signale néanmoins une évolution dans l’ingénierie sociale via le navigateur.
ClickFix est une tactique d’ingénierie sociale trompeuse. Elle pousse un utilisateur à exécuter par inadvertance un code malveillant depuis son navigateur et sur sa machine.
Cette menace commence dans le navigateur, souvent sur des sites web compromis ou parfois via des réponses de chatbots. Elle se poursuit rapidement sur le terminal, qui est infecté par des voleurs d’informations et un accès à distance pour les attaquants.
C’est le terminal qui subit l’impact, mais le navigateur est le vecteur de l’ingénierie sociale, et donc la première ligne de défense.
Le facteur humain reste un problème lié au navigateur
Le rapport 2026 constate que 62% des violations impliquaient le facteur humain, l’hameçonnage étant à l’origine de 16% des incidents. Les données de Keep Aware au niveau du navigateur montrent que l’hameçonnage et l’ingénierie sociale ont représenté 46% des attaques observées en 2025.
Le facteur humain est souvent présenté comme un problème de formation et de sensibilisation. Mais les attaquants font sans cesse évoluer leurs tactiques d’ingénierie sociale via le navigateur. Ils utilisent des liens d’hameçonnage vers des sites intermédiaires bénins, des chaînes de redirections, des pages qui s’affichent différemment pour les analyseurs automatisés, hébergent du contenu sur des sites légitimes ou procèdent à des injections silencieuses dans le presse-papiers.
La visibilité au niveau du navigateur ne résout pas le problème du facteur humain. Mais elle déplace le point de détection là où l’interaction humaine a réellement lieu, au lieu de rechercher des traces indirectes après que l’interaction a déjà été exploitée.
Les implications pour les équipes de sécurité
L’IA fantôme, le vol d’identifiants, les extensions malveillantes et les techniques d’ingénierie sociale comme ClickFix partagent une caractéristique commune. Elles s’exécutent toutes à l’intérieur du navigateur et elles produisent des artefacts qui sont surtout visibles, voire uniquement visibles, à ce niveau.
Les programmes de sécurité qui s’appuient exclusivement sur les mesures réseau, de terminal et d’identité continueront d’avoir des angles morts précisément là où les attaquants ont appris à opérer.
Le navigateur n’est plus seulement une application. Pour la plupart des utilisateurs en entreprise, c’est l’environnement de travail. Le sécuriser n’est plus une option.