Selon LayerX Security (Browser Security Report 2025), le navigateur est devenu l’endpoint le plus critique et le moins gouverné de l’entreprise, au croisement de l’IA, des identités et des données, avec une surface d’attaque largement invisible pour les piles DLP/EDR/SSE.

🧠 Croissance IA et déficit de gouvernance

  • 45% des employés utilisent des outils GenAI, dont 92% du trafic sur ChatGPT. Près de 90% des sessions se déroulent hors contrôle IT.
  • 77% des employés copient/collent des données dans des prompts, 82% via des comptes personnels.
  • 40% des fichiers chargés dans des apps GenAI contiennent des données PII/PCI.
  • La GenAI représente 32% des mouvements de données corporate → personnels, devenant le canal d’exfiltration n°1 dans le navigateur.

🧩 Extensions : chaîne d’approvisionnement logicielle non gérée

  • >50% des extensions installées ont des permissions élevées/critique ; 54% des éditeurs sont identifiés via un compte Gmail gratuit ; 26% des extensions sont sideloadées.
  • 99% des utilisateurs ont au moins une extension ; 95% des extensions Chrome ont <10 000 installations.
  • Environ 6% des extensions de navigateur GenAI sont malveillantes.
  • 51% des extensions n’ont pas été mises à jour depuis ≥12 mois (avec près de 25% non mises à jour et publiées par un compte Gmail), exposant à vulnérabilités et détournements de la supply chain.

🔐 Identités : le risque commence dans le navigateur

  • 68% des connexions corporate se font sans SSO ; 43% des accès SaaS utilisent des comptes personnels.
  • 54% des mots de passe corporate sont de force moyenne ou pire ; 26% des utilisateurs réutilisent leurs mots de passe.
  • ~8% des extensions ont accès à l’Identity API et ~6% aux cookies, augmentant le risque de vol de sessions et d’usurpation.

📎 Exposition des données SaaS dans le navigateur

  • 38% des employés uploadent vers des outils de File Storage/Sharing (et 25% vers des apps GenAI).
  • 41% des fichiers vers le stockage et 40% vers les apps GenAI contiennent des PII/PCI.
  • Le copier-coller devient un flux de fuite invisible pour les DLP : 62% des pastes dans Chat/IM contiennent des PII/PCI, 87% depuis des comptes non gérés.
  • En moyenne : 46 pastes/jour par employé ; sur comptes personnels 15/jour, dont 4 avec données sensibles.

🚨 Spotlights et tendances d’attaque

  • AI browsers blindspot (Perplexity Browser, Arc Search, Brave AI, OpenAI Atlas, Dia, Copilot-mode Edge) : co-pilotes IA intégrés lisant contenus, cookies et sessions, avec auto-prompt et injection de contexte menant à exfiltration fileless, exposition d’identités/cookies et écosystèmes d’agents non audités.
  • Cyberhaven Extension Attack (déc. 2024) : consent phishing OAuth → prise de contrôle du compte développeur → mise à jour malveillante (v24.10.4) auto-déployée via auto-update Chrome → exfiltration de cookies/tokens (≈400 000 utilisateurs affectés) avant rollback rapide.
  • Scattered Spider : ingénierie sociale (helpdesk), MFA fatigue, vol de tokens de session pour bypassert MFA/SSO, mouvement latéral sur SaaS/IdP (ex. Okta), exfiltration et parfois rançongiciel.
  • Rippling & Deel (mi‑2025) : fuites de messages internes via apps de messaging tierces connectées à Slack/WhatsApp (scopes OAuth étendus, stockage/« training » hors contrôle), illustrant la cécité des contrôles SSE/CASB/DLP dans le contexte navigateur.

TTPs observées/illustrées

  • Consent phishing et abus d’OAuth (scopes excessifs, sans MFA).
  • Abus d’auto‑update d’extensions et supply chain du Web Store.
  • Vol/rehjeu de tokens de session, MFA fatigue, session hijacking.
  • Auto‑prompt/context injection dans AI browsers (exfiltration fileless).
  • Sideloading d’extensions, permissions surdimensionnées, Shadow AI/SaaS.

Conclusion: publication de recherche sectorielle présentant des statistiques, tendances et études de cas pour cartographier les risques du navigateur et proposer un cadre de sécurisation.

🧠 TTPs et IOCs détectés

TTP

Consent phishing, OAuth abuse (excessive scopes, no MFA), abuse of auto-update in extensions, web store supply chain attacks, theft/replay of session tokens, MFA fatigue, session hijacking, auto-prompt/context injection in AI browsers (fileless exfiltration), sideloading of extensions, oversized permissions, Shadow AI/SaaS.

IOC

No specific IOCs (hash, domain, IP) are provided in the report.

🔗 Source originale : https://layerxsecurity.com/blog/why-the-browser-has-become-the-enterprises-most-overlooked-endpoint/