Comet et Atlas agissent à votre place, détournés par un texte invisible

Vous demandez à votre navigateur de réserver une table pour quatre vendredi soir, près de la gare, plutôt italien. Quelques secondes plus tard, il a ouvert trois sites, comparé les créneaux, rempli le formulaire et confirmé. Vous n'avez touché ni le clavier ni la souris.

La scène n'a plus rien d'hypothétique. En juillet 2025, Perplexity lançait Comet ; le 21 octobre, OpenAI répliquait avec Atlas. Deux navigateurs bâtis autour d'un agent qui ne se contente plus de répondre : il clique, tape, navigue et agit en votre nom. Le confort est réel. La vraie question est de savoir ce que l'on confie, au juste, quand on laisse une machine tenir la souris à sa place.

L'agent qui finit la corvée

Le principe rompt avec deux décennies d'usage. Jusqu'ici, le navigateur affichait, et c'était à vous de lire, de cliquer, de remplir. L'agent, lui, exécute. Comet se branche directement sur Gmail et Google Agenda pour trier une boîte de réception, retrouver un fil noyé, caler un rendez-vous. Atlas embarque un « mode agent » capable de mener une recherche, de comparer des produits et d'aller jusqu'à l'achat.

Ce que l'on gagne tient en une idée : le temps des tâches sans relief. Réserver, comparer, recopier une adresse de livraison, remplir le même formulaire pour la dixième fois, ces gestes que personne ne revendique passent à la machine. Pour qui jongle avec quarante onglets ouverts, l'agent promet de refermer la parenthèse administrative que le web est devenu.

Le bénéfice dépasse le simple gain de minutes. Pour une personne âgée perdue dans une interface bancaire, pour qui lit mal un écran ou tremble sur une souris, déléguer la manœuvre à une voix qui comprend une consigne en langage ordinaire, c'est retrouver une forme d'autonomie. La promesse n'est pas mince : rendre le web utilisable sans avoir à en maîtriser la mécanique.

Texte blanc sur fond blanc

Reste que cette délégation ouvre une porte que personne n'avait à garder jusqu'ici. Un navigateur classique ne reçoit d'ordres que de vous. Un navigateur agentique, lui, lit aussi la page qu'il visite, et rien n'empêche cette page de lui parler. C'est la faille que les chercheurs appellent l'injection d'instructions : glisser, dans un contenu en apparence anodin, des consignes destinées à l'agent plutôt qu'à l'humain.

La démonstration n'est pas théorique. L'équipe de sécurité du navigateur Brave a piégé Comet en cachant des instructions invisibles à l'œil, du texte blanc sur fond blanc ou dissimulé dans des commentaires du code de la page. L'agent, lui, les lisait sans broncher, et obéissait : aller chercher un code à usage unique dans la messagerie de l'utilisateur, ouvrir un portail bancaire, déclencher des actions sensibles d'un site à l'autre. La victime n'avait qu'à visiter la mauvaise page.

Le déséquilibre est nouveau. Une arnaque classique doit vous convaincre de cliquer ; ici, il suffit de convaincre votre agent, qui ne se méfie pas, ne fatigue pas et dispose déjà de vos accès. La commodité qui vous épargne dix gestes épargne aussi dix gestes à celui qui voudrait agir à votre place.

Un agent branché sur toute votre vie

Car la puissance de ces navigateurs vient précisément de leur position. Pour réserver, payer, trier vos courriels, l'agent doit être connecté à vos comptes, garder vos sessions ouvertes, voir ce que vous voyez. Il ne survole pas le web : il l'habite avec vos identifiants. C'est cette intimité qui le rend utile, et c'est elle qui inquiète.

Tout ce qui passe sous ses yeux peut, en principe, être lu, mémorisé, recoupé. Atlas garde une mémoire de votre navigation pour affiner ses suggestions ; le service y gagne en pertinence, vous y perdez en opacité. Là où un humain oublie, l'agent retient, et l'on ignore souvent où, pour combien de temps, au profit de qui.

La dépendance se glisse alors sans bruit. Plus l'agent est commode, moins on vérifie ce qu'il fait. On valide un récapitulatif sans le lire, on signe une réservation sans rouvrir la page, on cesse peu à peu de savoir comment la tâche s'accomplit. L'autonomie gagnée sur les corvées se paie d'une autonomie perdue sur le détail : on délègue le geste, puis on délègue le contrôle.

Ce qu'OpenAI préfère dire tout de suite

Le plus frappant, c'est l'honnêteté des constructeurs. Fin 2025, OpenAI reconnaissait que l'injection d'instructions ne serait sans doute jamais totalement éliminée pour les agents qui naviguent. On peut réduire le risque, le détecter, le tester sans relâche ; on ne peut pas le faire disparaître, parce qu'il tient à la nature même d'une machine qui lit le web et agit dessus.

Les chercheurs de Zenity Labs ont depuis exhibé toute une série de vulnérabilités du même ordre, sur plusieurs de ces navigateurs. Le secteur répond par la défense en profondeur : confirmations explicites avant les actions sensibles, cloisonnement des accès, détection automatique des attaques. Autant de garde-fous utiles, qui rognent justement sur le confort que l'agent était censé apporter. Plus on le bride, moins il agit seul ; moins il agit seul, moins il tient sa promesse.

Là est la tension de fond. Un agent vraiment autonome est un agent à qui l'on a tout confié, donc un agent qu'un texte invisible peut détourner. Un agent prudent est un agent qu'il faut surveiller, donc un agent qui ne vous fait plus gagner grand-chose.

Garder la main sur la souris

Le navigateur agentique n'est pas un gadget : il préfigure une manière de vivre le web où l'on énonce une intention plutôt que d'exécuter une suite de clics. Pour beaucoup, ce sera un soulagement, et parfois une porte rouverte sur des services devenus illisibles. Le confort, ici, n'a rien d'illusoire.

Mais il se mérite. Confier ses accès à un agent, c'est accepter qu'une page mal intentionnée puisse lui parler à votre place, et qu'une mémoire vous observe en échange du service. Le bon réflexe n'est pas de fuir l'outil, c'est de lui laisser le moins de pouvoir possible pour le plus de tâches utiles : confirmer soi-même ce qui touche à l'argent ou à l'identité, et garder, sur les gestes qui comptent, une main bien à soi sur la souris.