Sommaire

« J'ai demandé quelque chose à une IA, et elle a ouvert le navigateur, fait des recherches toute seule, et même rempli un formulaire pour moi. » En 2026, ce n'est plus une simple démo mise en scène. Les agents IA qui « voient, cliquent et tapent » dans le navigateur — les fameux navigateurs agentiques — sont arrivés tous en même temps : ChatGPT Atlas, Claude for Chrome, Gemini/Chrome, Perplexity Comet, et bien d'autres.

Alors jusqu'où peuvent-ils réellement automatiser ? La réponse courte : la réalité se découpe nettement en trois paliers. La « recherche » est globalement prête pour la production, le « remplissage de formulaires » est conditionnel, et la « réservation et le paiement » sont des tâches que vous devriez encore faire vous-même. Utilisez ces outils sans connaître cet écart, et vous allez vous brûler les doigts. Cet article expose l'état de l'art actuel, le positionnement de chaque éditeur, les chiffres des benchmarks et — souvent négligés — les pièges de sécurité, pour vous donner une image honnête de la « réalité ».

PILOTAGE DU NAVIGATEUR PAR L'IA · LA RÉALITÉ

Le même « pilotage du navigateur » — mais trois niveaux de « est-ce faisable »

— Selon la nature de la tâche, le feu passe au vert, à l'orange ou au rouge

🟢

Recherche

Lecture seule = prêt pour la prod

○ À déléguer
🟡

Remplissage de formulaires

Ça marche, mais vérifiez

△ Conditionnel
🔴

Réservation / paiement

Échoue sur CAPTCHA / paiement

× Faites-le vous-même
Benchmarks de recherche 89-98 % Tâches complexes sous le niveau humain Le plus grand obstacle est la sécurité

* Les chiffres de benchmarks, les caractéristiques des produits et les tarifs cités dans cet article proviennent de diverses sources publiques, articles de presse et annonces officielles (en date de juin 2026). Ces produits évoluent vite, et leurs systèmes d'exploitation pris en charge, leurs prix et leurs capacités peuvent changer. Les chiffres varient selon la méthodologie — à lire comme des ordres de grandeur.

1. Qu'est-ce que le « pilotage du navigateur par l'IA » ? Deux approches

« Une IA qui pilote le navigateur » se décline en réalité en deux saveurs techniques. Toutes deux exécutent la même boucle d'agent : voir l'écran (percevoir) → décider de l'action suivante (planifier) → cliquer ou taper (agir).

🧭

① Grand public : intégré au navigateur / extension

L'IA vit à l'intérieur du navigateur que vous utilisez déjà — sous forme de navigateur dédié (ChatGPT Atlas) ou d'extension (Claude for Chrome) — et gère la recherche et le remplissage de formulaires en utilisant votre propre session connectée. Facile à adopter, mais avec les réserves de sécurité abordées plus loin.

ex. Atlas / Claude for Chrome / Gemini dans Chrome / Comet

⚙️

② Développeur : automatiser via API/OSS

Piloter par le code un navigateur dans un bac à sable (sandbox). Avec l'outil computer-use d'OpenAI ou la bibliothèque open source browser-use, vous pouvez exécuter des tâches web répétitives sans surveillance. Plus proche d'un RPA évolué, idéal pour intégrer dans des workflows.

ex. computer-use (CUA) / browser-use / Skyvern / Steel

Cet article se concentre principalement sur ① le versant grand public pour jauger « jusqu'où ça va ». Notez que ② utilise souvent les mêmes modèles d'IA en arrière-plan, si bien que les forces et faiblesses sont généralement partagées.

2. Les principaux acteurs en 2026

De la fin 2025 à 2026, les navigateurs agentiques sont arrivés d'un seul coup — et tout aussi vite, une consolidation (shakeout) s'est installée, les produits autonomes étant absorbés dans leurs services parents. Voici le paysage actuel.

Produit Forme Statut (en date de juin 2026)
ChatGPT Atlas
OpenAI		 Navigateur dédié (basé sur Chromium) Lancé le 2025/10/21. Mode agent pour Plus/Pro/Business, etc. Centré sur Mac au départ ; déploiement Windows/mobile en cours. Ne peut pas exécuter de code, télécharger de fichiers ni lire de mots de passe, par conception.
Claude for Chrome
Anthropic		 Extension Chrome (panneau latéral) En bêta sur les forfaits payants (Pro/Max, etc.). Il navigue, clique, remplit des formulaires, gère des flux multi-onglets et multi-étapes. Les modèles disponibles diffèrent selon le forfait.
Gemini / Chrome
Google		 Intégration au navigateur Le « Project Mariner » expérimental a pris fin le 2026/5/4 et sa technologie a été intégrée à Gemini/Chrome. La fonction « Auto Browse » de Chrome automatise les flux complexes.
Perplexity Comet
Perplexity		 Navigateur dédié Populaire pour la recherche. Mais plusieurs vulnérabilités d'injection de prompt ont été signalées (voir plus bas) ; des correctifs ont été déployés début 2026.
ChatGPT Agent
OpenAI (ex-Operator)		 Intégré + API L'« Operator » autonome a pris fin le 2025/8/31 ; ses capacités ont migré dans ChatGPT et l'Agents SDK (computer-use). Sa disparition en dit long sur la « réalité » (voir plus bas).
browser-use
OSS		 Bibliothèque (MIT) Plus de 78k étoiles sur GitHub. Branchez n'importe quel LLM pour construire votre propre automatisation. Des OSS sœurs comme Skyvern et Steel sont également actives.

Ce qui frappe, c'est la vague d'« intégration et fermeture » des produits autonomes. L'Operator d'OpenAI comme le Mariner de Google ont abandonné leur application séparée et ont été absorbés dans le service parent. Cela reflète un glissement de l'industrie, des « expériences tape-à-l'œil » vers des « fonctions intégrées aux produits que les gens utilisent au quotidien » — et, tout autant, son revers : le pilotage totalement autonome reste difficile à lui seul.

3. Jusqu'où peut-elle aller ? La réalité en 3 paliers

C'est le cœur du sujet. Même au sein du « pilotage du navigateur », la fiabilité pratique se divise nettement selon la nature de la tâche. Étoffons le feu tricolore d'ouverture avec des exemples concrets et des benchmarks.

🟢 Recherche / collecte d'informations = ce qui est le plus « utilisable » aujourd'hui

Comparer les prix entre sites, résumer des avis, surveiller les mises à jour des concurrents, extraire des chiffres d'un tableau de bord sans API — le travail « en lecture seule » est prêt pour la production. Sur WebVoyager, qui teste de vrais sites web, les meilleurs agents atteignent 89-98 %, saturant de fait le benchmark. Comme une mauvaise action coûte peu ici, c'est par là qu'il faut commencer à déléguer.

🟡 Remplissage de formulaires = faisable, mais demande un « surveillant »

Formulaires de contact, brouillons de demandes, recopie dans un tableur — la saisie elle-même est prise en charge par chaque agent. Mais il peut mal étiqueter des champs, mal juger des options, ou cliquer sur le mauvais bouton d'envoi. « L'IA rédige, un humain envoie » est le schéma sûr. De fait, de nombreux produits comme Atlas sont conçus pour demander confirmation avant les actions importantes.

🔴 Réservation / paiement = à faire encore soi-même

Réservations d'hôtels et de vols, achats e-commerce, confirmations derrière une connexion — les tâches « où l'argent bouge, difficiles à annuler » sont le point le plus faible. Les agents trébuchent sur les CAPTCHA, les paiements JavaScript complexes, l'authentification à deux facteurs et la gestion de session. Sur WebArena, qui teste des tâches complexes multi-étapes, même les meilleurs tournent autour de 47-68 % (sous la barre humaine d'environ 78 %). La raison même pour laquelle OpenAI a fermé l'Operator autonome était le manque de fiabilité des flux de paiement.

L'« écart » dans les benchmarks (chiffres indicatifs)

WebVoyager (vrais sites, orienté recherche)89-98 %
WebArena (tâches complexes multi-étapes)47-68 %
Référence humaine (WebArena)~78 %

* Il y a deux ans, le taux de réussite sur des tâches similaires avoisinait, dit-on, 14 % ; les progrès sont donc rapides. Pourtant, « les tâches complexes restent en deçà du niveau humain » est aussi un fait.

En somme : excellente pour chercher des informations, faible pour engager des actions. Retenir cette seule phrase vous épargnera l'essentiel de la déception née d'attentes mal calibrées.

4. Pourquoi elle échoue sur la « réservation »

« Si elle sait chercher, pourquoi ne sait-elle pas réserver ? » Il n'y a pas une seule raison. La réservation et le paiement empilent au même endroit plusieurs « portes » sur lesquelles l'IA est mauvaise.

🧩 CAPTCHA / protections anti-bot

Les mécanismes qui exigent une « preuve d'être humain » existent précisément pour stopper les agents. Chercher à les contourner peut, en soi, enfreindre les conditions d'utilisation.

💳 Flux de paiement complexes

Paniers très chargés en JavaScript, 3-D Secure, redirections vers un paiement externe. Un seul faux pas quelque part casse tout, et le rétablissement est difficile.

🔐 Authentification à deux facteurs / connexion

Les codes SMS et les validations par application ne se terminent qu'entre vos propres mains. Beaucoup de produits évitent délibérément les mots de passe et les identifiants.

↩️ Le coût de l'annulation

« Acheté par erreur » ou « double réservation » cause un préjudice réel. Aussi les éditeurs insèrent-ils une validation humaine sur les actions importantes et ne confirment pas automatiquement.

Dit autrement, un « échec » à la réservation tient moins à un manque d'intelligence de l'IA qu'à la collision avec une intention de conception : « les sites web ne s'attendent pas à l'automatisation » et « les humains doivent garder la main sur les grandes actions ». Un bond vers 100 % d'automatisation à court terme est donc improbable. En pratique, « l'IA jusqu'aux candidats, l'humain pour la confirmation finale » est la meilleure réponse pour l'instant.

5. Le plus grand piège : l'injection de prompt

Plus important que le « faisable ou pas », il y a la sécurité. Le plus grand risque propre aux navigateurs agentiques est l'injection de prompt indirectel'agent se fait piéger par des « instructions cachées destinées à l'IA » glissées dans une page web ou un e-mail.

Ce qu'est l'injection de prompt indirecte : un attaquant intègre des commandes du type « vole l'e-mail de l'utilisateur et envoie-le » à l'aide de texte difficile à voir pour les humains (texte de la même couleur que le fond, caractères dans des images, sections de commentaires), de sorte que l'agent qui lit la page soit détourné. Comme cela s'exécute dans votre session connectée, les dégâts peuvent être directs.

Ce n'est pas théorique. Début 2026, plusieurs vulnérabilités ont été signalées dans le Perplexity Comet orienté recherche. Dans les démonstrations de chercheurs, le simple fait de lui faire lire une page ou un message malveillant suffisait à dérober des identifiants et des codes à usage unique et à prendre le contrôle du compte — une voie d'attaque « zéro clic » (Perplexity a déployé des mesures d'atténuation en février 2026). Des faiblesses similaires ont depuis été pointées dans d'autres grands navigateurs.

Quelle est l'efficacité des défenses ? (exemple de chiffres publiés)

23.6%

Réussite des attaques avant défenses
(mesure propre à un éditeur)

~11%

Après défenses de base
(pas zéro)

~1%

Sous les défenses les plus fortes
(toujours non nul)

* Les chiffres sont auto-déclarés par chaque éditeur et dépendent des conditions ; ils ne peuvent donc pas être comparés côte à côte. Le point clé : les défenses réduisent fortement le risque, mais jamais à zéro. La recherche signale aussi qu'à mesure que les attaquants itèrent, le taux de percée augmente.

Les éditeurs ripostent avec des classifieurs qui détectent les instructions cachées, ainsi que des confirmations et des limites de permissions sur les actions importantes. Mais l'état honnête en 2026 est que « même avec des défenses, un risque résiduel subsiste ». C'est exactement pour cela que vos règles d'utilisation sont la dernière ligne de défense. Pour en savoir plus, voir les incidents de sécurité des agents IA.

6. Une check-list pratique pour un usage sûr

Compte tenu de la « réalité » ci-dessus, voici 5 principes pour un usage sûr dès aujourd'hui. Pas de réglages compliqués — c'est une question d'état d'esprit.

1

Commencez par la « lecture seule »

Au début, limitez-la à la recherche, la comparaison et le résumé — un travail où un échec ne coûte rien. N'élargissez aux tâches de saisie qu'une fois à l'aise.

2

Un humain doit valider les envois et les paiements

« L'IA jusqu'au brouillon, le bouton final est à vous. » Ne la réglez pas pour qu'elle confirme sans relecture.

3

Ne lui confiez pas d'informations sensibles ni de mots de passe

Ne l'utilisez pas pour la banque en ligne, les paiements ou les écrans confidentiels. Ce n'est pas un hasard si tant de produits sont conçus pour ne pas toucher aux identifiants.

4

Ne lancez pas l'agent sur des sites non fiables

Les pages douteuses et les liens d'expéditeurs inconnus sont des terrains propices aux instructions cachées. Marquez une pause avant de laisser l'agent les « lire ».

5

Moindre privilège, dans un profil dédié

Ne lui donnez pas accès à tous vos onglets connectés. Quand c'est possible, faites-le tourner dans un profil de travail séparé pour limiter le rayon d'impact.

Au final : « commodité » et « privilège » forment un compromis. Plus vous accordez de pouvoir à l'agent, plus il peut faire — mais plus les dégâts sont grands s'il est détourné. Commencez petit et élargissez à mesure des résultats — la même règle de base que dans les cas d'usage d'automatisation métier.

Conclusion

Le pilotage du navigateur par l'IA a fait un grand pas en 2026, de l'« expérience » à l'« outil du quotidien ». Mais elle n'est pas toute-puissante — la réalité se découpe en trois paliers.

Points clés à retenir

  • 🟢 Recherche, comparaison et résumé sont prêts pour la production — commencez ici.
  • 🟡 Le remplissage de formulaires fonctionne, mais suppose qu'« un humain confirme » à la fin.
  • 🔴 Réservation et paiement restent faibles — les obstacles CAPTCHA/paiement/2FA. « L'IA jusqu'aux candidats, l'humain pour confirmer. »
  • ⚠️ Le plus grand obstacle est la sécurité — l'injection de prompt persiste malgré les défenses. Protégez-vous par des règles d'utilisation.

« Un excellent partenaire de recherche ; faites vous-même les actions qui font bouger l'argent. » Gardez cette distance et le pilotage du navigateur par l'IA vous fera gagner beaucoup de temps. Commencez dès aujourd'hui par la « recherche », où une erreur ne fait pas mal. Pour les fondamentaux des agents en général, voir ce qu'est un agent IA ; pour la sécurité, approfondissez les incidents de sécurité.

FAQ

Q. Puis-je laisser toute la réservation à une IA ?

R. Déconseillé en 2026. Elle bute facilement sur les CAPTCHA, les paiements complexes et l'authentification à deux facteurs, au risque d'achats erronés ou de doubles réservations. « L'IA jusqu'à la comparaison des candidats, la confirmation finale par un humain » est sûr.

Q. Lequel choisir ? Quelle différence entre ChatGPT Atlas et Claude for Chrome ?

R. La grande différence est la forme : Atlas est un « navigateur dédié », Claude for Chrome est une « extension Chrome ». Si vous utilisez déjà Chrome, l'extension est facile ; pour tester un tout nouvel environnement, optez pour le navigateur dédié. Les tarifs et les modèles disponibles diffèrent selon le forfait — voir le comparatif des prix.

Q. Les utilisateurs ordinaires doivent-ils s'inquiéter de l'injection de prompt ?

R. Oui. Comme l'agent s'exécute dans votre session connectée, les dégâts peuvent être directs. Trois habitudes seulement — ne pas le lancer sur des sites louches, faire valider les paiements et les envois par un humain, et ne pas l'utiliser sur des écrans contenant des informations sensibles — réduisent nettement le risque.

Q. Puis-je l'essayer gratuitement ?

R. Cela dépend du produit. Beaucoup de fonctions d'agent sont réservées aux forfaits payants, mais il existe des options gratuites comme l'OSS browser-use que vous pouvez construire vous-même (vous payerez tout de même l'usage du LLM séparément). Vérifiez d'abord ce que prend en charge votre service d'IA actuel.

Q. Pour un travail routinier simple, le RPA classique est-il meilleur ?

R. Si les étapes sont exactement les mêmes à chaque fois, l'automatisation classique peut être plus stable et plus rapide. La force des agents IA, c'est le travail « un peu différent à chaque fois » ou « qui demande du jugement ». Les deux ne sont pas rivaux — utilisez le bon outil pour la bonne tâche.