"Un accès sans précédent à des domaines qui devraient rester privés": les navigateurs IA sont une menace sérieuse pour les données personnelles

Une étude menée par les chercheurs de l'Université de Londres et de l'Université méditerranéenne de la région de Calabre, publiée à l'occasion du symposium sur la sécurité USENIX, montre le danger que pourraient représenter les navigateurs possédant des fonctionnalités d'intelligence artificielle générative.

Pour ce faire, les chercheurs ont analysé neuf extensions IA, dont ChatGPT, Merlin, Gemini et Copilot. L'étude met en évidence des collectes de "nombreuses" données personnelles posant "de graves problèmes de confidentialité".

Une collecte de données même en navigation privée

Car pour réussir à guider l'utilisateur, ces IA doivent également analyser leur activité sur le web, dont le contenu d'une page, ce qui s'y passe, et notamment les données que l'on peut être amené à rentrer dans des formulaires comme les coordonnées bancaires et les données de santé. Plusieurs de ces IA ont ainsi montré leur capacité à déduire l'âge, le sexe, les revenus et intérêts d'un utilisateur. Seule une intelligence artificielle ne réalise pas ce profilage : Perplexity.

Pour réussir leurs tests, les chercheurs ont simulé le profil d'un homme "riche et millionnaire de Californie", notamment en interagissant avec des assistants IA. Durant leur navigation sur le web, ils ont regardé des vidéos Youtube contextualisées selon le profil, lus des articles et achetés des choses sur Amazon en conséquence. Ils ont aussi activé le mode "navigation privée".

Préserver la confidentialité plus que la commodité

Durant cette simulation, ils ont ainsi pu observer que les assistants IA faisaient appel à des traqueurs permettant d'analyser "en temps réel" les données entrantes et sortantes. "Bien que de nombreuses personnes sachent que les moteurs de recherche et les réseaux sociaux collectent des informations à leur sujet pour des publicités ciblées, ces assistants IA pour les navigateurs fonctionnent avec un accès sans précédent au comportement en ligne des utilisateurs dans des domaines qui devraient rester privés," explique le docteur Anna Maria Mandalari, l'autrice principale de l'étude.

Elle précise d'ailleurs que cette collecte importante n'a rien d'anodine pour les entreprises qui gèrent ces IA puisqu'elles revendent ensuite ces données à des tiers "dans un monde où les piratages massifs sont fréquents". Aucune entreprise d'IA ne permet d'ailleurs de savoir concrètement et facilement ce qui est collecté et à quelles fins.

Notons toutefois que cette étude se base sur les règles américaines en matière de données personnelles. On peut estimer qu'en Europe, où le RGPD est présent, les données sont un peu moins vampirisées par ces assistants IA. Néanmoins, cette étude tire la sonnette d'alarme pour l'avenir : "A mesure que l'IA générative s'intègre de plus en plus dans nos vies numériques, nous devons nous assurer que la confidentialité ne soit pas sacrifiée au profit de la commodité," plaide Aurelio Canino, co-auteur de l'étude.