alexi.sh
Tous les articlesSécurité navigateurConfidentialité réseauOutils de confidentialitéModélisation des menacesCodage IAOutils de dev

alexi.shRecherches

browser-privacy

Rançongiciel de navigateur généré par IA : ce que révèle la preuve de concept de DeepSeek (2026)

PrivSec Lab4 min de lecture
Code source colorisé sur un écran sombre

Check Point a montré que le modèle d'IA DeepSeek peut générer un rançongiciel qui s'exécute entièrement dans un navigateur Chromium, sans appli à installer. C'est une preuve de concept, pas une épidémie, et il faut votre clic. Ce que c'est, comment ça marche, comment se protéger.

L'entreprise de sécurité Check Point a montré qu'un agent conversationnel d'IA peut générer un rançongiciel fonctionnel qui s'exécute entièrement dans votre navigateur, sans appli à installer et sans faille de sécurité exploitée. C'est une preuve de concept, pas une épidémie réelle, et il faut quand même que vous cliquiez sur Autoriser. Mais c'est un aperçu clair de la direction que prend le malware assisté par IA, et tout repose sur une permission de navigateur à laquelle presque personne ne pense. Voici ce qui s'est passé, comment l'attaque fonctionne, et comment vous protéger.

Ce que Check Point a découvert

Check Point a publié un rapport intitulé Browser-Only Ransomware : From LLM Hallucinations to a Practical Attack Technique. Ils ont analysé un échantillon de malware généré avec le modèle d'IA chinois DeepSeek qui reliait une idée théorique à une méthode fonctionnelle. Leur conclusion, dans leurs mots : l'IA peut transformer des idées malveillantes de haut niveau en techniques concrètes, et peut concevoir de façon autonome des chemins d'attaque inédits qui ne sont pas encore apparus dans des campagnes réelles.

Le contexte honnête compte autant que le titre. C'est une preuve de concept de recherche. Check Point n'a trouvé aucune preuve que la technique soit utilisée dans des attaques réelles, et l'échantillon initial généré par DeepSeek était incomplet et n'exécutait pas l'attaque complète de façon fiable. Un humain a guidé chaque étape ; l'IA n'a rien lancé toute seule.

Comment fonctionne l'attaque dans le navigateur

La technique abuse d'une fonction légitime du navigateur appelée API File System Access, qui permet à une page web de lire et d'écrire des fichiers dans un dossier que vous choisissez. Les étapes sont simples :

  • Vous arrivez sur une fausse appli web convaincante. Le leurre de Check Point se faisait passer pour un améliorateur d'avatar Discord par IA.
  • Vous cliquez pour continuer, et le navigateur affiche son invite normale d'accès au dossier.
  • Si vous l'accordez, la page peut lister les fichiers de ce dossier, lire et voler leur contenu, puis les chiffrer et les écraser.
  • Enfin, elle affiche une note de rançon exigeant des bitcoins.

Aucun programme natif n'est installé, aucune faille du navigateur n'est exploitée, et aucun accès root n'est requis. Tout s'exécute dans l'onglet que vous avez ouvert.

Des mains tapant sur un ordinateur portable avec les mots Vos fichiers personnels sont chiffrés répétés en rouge - le type de note de rançon qu'une attaque via le navigateur afficherait.

Quels navigateurs sont exposés

L'API File System Access est une fonction de Chromium. Check Point a confirmé le risque sur les navigateurs basés sur Chromium, c'est-à-dire Chrome et ses cousins, sur Windows, macOS, ChromeOS, Linux et Android, et ils l'ont testé sur Chrome 148 pour Android. Firefox et Safari n'exposent pas la même méthode de sélection de fichiers, ils ne sont donc pas concernés de la même manière. Les navigateurs bloquent déjà les dossiers les plus sensibles comme le dossier personnel, le Bureau, Documents, Téléchargements et les chemins système, même si Check Point a noté que Images et Vidéos étaient accessibles sur les systèmes testés.

Pourquoi il a été construit avec DeepSeek

Le choix de DeepSeek est la vraie histoire pour qui observe la sûreté de l'IA. Check Point a rapporté que les modèles de DeepSeek refusaient moins systématiquement les requêtes cyber malveillantes que ceux d'Anthropic ou d'OpenAI, que DeepSeek est gratuit et largement disponible, et qu'il pouvait souvent produire une appli malveillante fonctionnelle à partir d'une seule invite large, au lieu de forcer un attaquant à découper la requête en morceaux d'apparence innocente. Sollicité directement pour un rançongiciel, DeepSeek a refusé ; reformulé pour éviter le terme tout en gardant la fonction, il a obéi. La leçon n'est pas que l'IA est devenue incontrôlable. C'est que la barrière à la création de malware baisse, ce qui rend les bonnes habitudes défensives plus importantes, pas moins.

Comment vous protéger

La bonne nouvelle, c'est que comme cette attaque a besoin de votre permission, vous pouvez l'arrêter à l'invite. Les conseils de Check Point, en clair :

  • Traitez une invite d'accès à un dossier comme une demande de droits d'administrateur. Avant d'autoriser, vérifiez quel site demande, quel dossier il veut, et s'il a vraiment besoin de modifier vos fichiers.
  • N'accordez jamais à un site l'accès aux dossiers contenant photos, documents, codes de récupération ou fichiers de travail sauf si vous lui faites entièrement confiance.
  • Préférez des applis natives établies ou des services cloud connus pour tout ce qui a de la valeur, pas une toute nouvelle appli d'IA que vous venez de découvrir.
  • Gardez des sauvegardes hors ligne et cloud, qui retirent tout levier à un rançongiciel.
  • Gardez votre navigateur et votre système à jour, car les éditeurs affinent ces modèles de permission.
  • Restez sceptique face aux utilitaires d'IA au bel emballage. Une interface soignée n'est pas une preuve de sécurité.

Le malware généré par IA n'est plus hypothétique, mais la défense est classique et rassurante : réfléchissez avant d'accorder un accès, et gardez des sauvegardes. Pour le tableau d'ensemble de la vie privée dans les navigateurs, voyez notre état de la vie privée dans les navigateurs en 2026.

Photo: Pixabay (source)

Aussi disponible en

FAQ

Le rançongiciel de navigateur généré par IA est-il une vraie attaque ?
Pas dans la nature. C'est une preuve de concept de Check Point, basée sur un échantillon de malware généré avec le modèle d'IA DeepSeek. Check Point n'a trouvé aucune preuve que la technique soit utilisée dans des attaques réelles, et l'échantillon initial généré par DeepSeek était incomplet et n'exécutait pas l'attaque complète de façon fiable. Check Point a bâti une preuve de concept contrôlée pour mesurer le risque.
Comment fonctionne un rançongiciel qui vit dans le navigateur ?
Il abuse d'une fonction légitime du navigateur, l'API File System Access, qui permet à une page web de lire et écrire des fichiers dans un dossier que vous choisissez. Une fausse appli web (Check Point a utilisé un faux améliorateur d'avatar Discord) demande l'accès au dossier ; si vous l'accordez, la page peut lister, lire, exfiltrer, puis chiffrer et écraser vos fichiers, et enfin afficher une note de rançon. Aucune appli n'est installée et aucune faille du navigateur n'est exploitée.
Quels navigateurs sont concernés ?
L'API File System Access est une fonction de Chromium, donc Chrome et les autres navigateurs basés sur Chromium sont exposés sur Windows, macOS, ChromeOS, Linux et Android (Check Point l'a confirmé sur Chrome 148 pour Android). Firefox et Safari n'exposent pas la même méthode de sélection de fichiers. Les navigateurs bloquent déjà les dossiers les plus sensibles comme le dossier personnel, le Bureau, Documents et Téléchargements.
Comment me protéger ?
Comme l'attaque a besoin de votre permission, vous pouvez l'arrêter à l'invite. Traitez une demande d'accès à un dossier comme des droits d'administrateur : vérifiez quel site demande et quel dossier il veut. N'accordez jamais l'accès aux dossiers contenant photos, documents ou codes de récupération sauf si vous faites entièrement confiance au site, préférez des applis natives établies pour les données précieuses, gardez des sauvegardes hors ligne, et mettez votre navigateur à jour.