De plus en plus de gens laissent une intelligence artificielle magasiner à leur place. On lui demande de trouver le meilleur prix, de remplir le panier, parfois même de payer. Le navigateur Comet de Perplexity fait exactement ça, et d’autres outils suivent le même chemin. Le problème, c’est que cette IA ne se méfie de rien. Elle voit une page, elle exécute la tâche, et elle passe à la suivante.
Un laboratoire de sécurité, Guardio Labs, vient de le démontrer noir sur blanc avec une série de tests baptisée Scamlexity. Le résultat est gênant : l’agent a acheté une montre sur un faux site imitant Walmart, il a saisi des identifiants bancaires sur une fausse page de Wells Fargo, et il a téléchargé un fichier piégé caché dans un faux CAPTCHA. À chaque fois, sans poser de question et sans que personne ne s’en rende compte.
Réponse rapide : Les navigateurs pilotés par l’IA peuvent se faire piéger comme un utilisateur inattentif : achat sur une boutique bidon, saisie de mot de passe sur une page d’hameçonnage, téléchargement d’un fichier malveillant. Pour une PME du Québec, ça veut dire un contrôle humain avant tout paiement ou toute connexion, des cartes virtuelles à limite basse pour ce que touche l’IA, et les tâches sensibles gardées entre les mains d’un employé.
1. Ce que le test Scamlexity a révélé
Guardio Labs a mis le navigateur Comet dans trois situations que n’importe qui peut rencontrer en ligne. L’idée n’était pas de piéger l’outil avec des astuces de laboratoire, mais de reproduire des arnaques ordinaires qui circulent déjà sur le web.
- Le faux magasin. On a demandé à l’agent d’acheter une Apple Watch. Il a trouvé un site qui copiait Walmart, a rempli les informations de paiement enregistrées et a validé la commande sans confirmation.
- L’hameçonnage. En vérifiant les courriels, l’agent a cliqué sur un lien qui imitait Wells Fargo, puis a entré des identifiants bancaires sur une fausse page de connexion.
- L’injection de commande. L’agent a lu des instructions cachées dans un faux CAPTCHA et a déclenché le téléchargement d’un fichier malveillant.
Guardio résume le phénomène par un mot : Scamlexity, la rencontre entre l’automatisation qui imite l’humain et les vieilles techniques de manipulation. Le danger, c’est l’échelle. Une seule arnaque bien montée peut viser des millions d’agents à la fois.

2. Pourquoi l’IA se fait avoir aussi facilement
Un agent IA est conçu pour terminer sa tâche. C’est sa qualité et son défaut. Quand vous lui dites d’acheter un produit, il cherche le chemin le plus court vers la commande complétée. Il traite chaque page comme une information valable, pas comme une menace possible.
Un humain attentif remarque les petits signaux : une adresse web bizarre, un logo légèrement déformé, une demande de paiement qui arrive trop vite. L’agent, lui, n’a pas ce réflexe de doute. Il ne se demande pas si le site est vrai. Il voit un bouton « Payer », il clique. Et s’il a accès à vos informations de carte enregistrées, il les utilise sans vous prévenir.
C’est exactement le genre de risque qu’un accompagnement en sécurité permet d’encadrer. Nos services de gestion et de sécurité informatique servent justement à mettre des garde-fous entre un outil pratique et une erreur coûteuse.
3. Ce que ça change pour une PME de la Mauricie
Dans une petite entreprise de Trois-Rivières ou d’ailleurs au Québec, ces navigateurs commencent déjà à servir : commander des fournitures, comparer des forfaits, remplir des formulaires en ligne. C’est du temps gagné, personne ne dira le contraire. Mais un agent qui magasine avec la carte de l’entreprise, sans supervision, c’est une porte laissée ouverte.
- Un employé configure un agent pour renouveler des abonnements. L’agent tombe sur un faux portail et paie au mauvais endroit.
- Des fraudeurs montent de fausses boutiques conçues pour tromper les agents, pas les humains. Elles n’ont même pas besoin d’être jolies, juste crédibles pour une machine.
- Les informations de paiement enregistrées dans le navigateur deviennent accessibles à un outil qui les utilise sans jugement.
La bonne nouvelle, c’est que ces risques se gèrent avec des règles simples et un peu d’encadrement. Pas besoin d’interdire l’IA, il faut juste décider ce qu’elle a le droit de faire seule.

2. Le contexte : la fraude assistée par IA prend de l’ampleur
Le test de Guardio n’arrive pas dans le vide. Dans sa prévision de fraude pour 2026, la firme Experian place l’IA agentique en tête de ses cinq menaces principales. Selon elle, le nombre d’acteurs qui entrent dans ce champ rend la fraude « inévitable et impossible à ignorer ».
Quelques chiffres, à titre indicatif et à vérifier auprès des sources officielles, donnent la mesure du problème. Selon les données de la FTC reprises par Experian, les consommateurs ont perdu plus de 12,5 milliards de dollars US à la fraude en 2024. Toujours selon Experian, près de 60 % des entreprises ont vu leurs pertes liées à la fraude augmenter entre 2024 et 2025.
Experian nomme aussi d’autres tendances pour 2026 : de faux candidats à l’emploi générés par IA capables de passer une vraie entrevue, le clonage de sites légitimes qui réapparaissent après chaque signalement, et des robots conversationnels assez convaincants pour mener des arnaques sentimentales sans intervention humaine. Le fil conducteur est simple : les outils qui aidaient déjà les fraudeurs deviennent plus rapides et moins chers.

3. Comment vous protéger dès maintenant
Vous n’avez pas à attendre le prochain incident pour agir. Les mesures suivantes sont concrètes et applicables tout de suite, que vous soyez un particulier ou une entreprise.
- Retirez vos informations de paiement de la saisie automatique accessible à l’agent. S’il n’y a pas de carte enregistrée, il ne peut pas payer tout seul.
- Activez une confirmation humaine obligatoire avant tout achat, toute connexion et tout téléchargement.
- Pour ce que l’IA a le droit de payer, utilisez une carte virtuelle à limite basse plutôt que la carte principale de l’entreprise.
- Ne confiez pas la surveillance de votre boîte de courriels à un agent : c’est la porte d’entrée directe vers l’hameçonnage.
- Gardez manuelles les tâches liées à l’argent, à l’identité et à la santé. La banque, les impôts et les dossiers médicaux se font avec les mains sur le clavier.
- Vérifiez de temps en temps le journal d’activité de l’agent pour repérer une action anormale.
Si vous n’êtes pas certain de la marche à suivre, mieux vaut poser la question avant plutôt qu’après. Vous pouvez nous joindre chez OKTO Solutions pour faire le point sur les outils IA utilisés dans votre entreprise et encadrer ce qui doit l’être.
Frequently Asked Questions
Un navigateur IA est-il dangereux à utiliser ?
Pas en soi. Il devient risqué quand on le laisse payer ou se connecter sans supervision. Utilisé avec une confirmation humaine et sans carte enregistrée, il reste un outil pratique.
Qu’est-ce que le test Scamlexity a prouvé exactement ?
Que le navigateur Comet de Perplexity a acheté sur un faux site, entré des identifiants bancaires sur une page d’hameçonnage et téléchargé un fichier piégé, sans jamais douter de leur légitimité. L’IA optimise la tâche, pas la méfiance.
Comment protéger la carte de crédit de mon entreprise ?
Utilisez une carte virtuelle à limite basse pour tout ce qu’un agent IA peut toucher, retirez les cartes de la saisie automatique et exigez une validation manuelle avant chaque paiement. Ainsi, une erreur de l’agent coûte peu.
Encadrer l’IA sans freiner votre entreprise
L’automatisation par l’IA fait gagner du temps, mais elle ne remplace pas le jugement. Le bon réflexe n’est pas d’interdire ces outils, c’est de décider ce qu’ils font seuls et ce qui reste sous contrôle humain. Pour évaluer vos usages et poser les bonnes limites, regardez nos services informatiques gérés ou contactez notre équipe à Trois-Rivières. On vous aide à profiter de l’IA sans ouvrir la porte aux arnaques.
