Une controverse majeure secoue l’écosystème de l’intelligence artificielle. Selon les révélations d’un chercheur en cybersécurité, l’application Claude Desktop d’Anthropic installerait silencieusement des fichiers dans plusieurs navigateurs. Une pratique qui soulève des questions juridiques et sécuritaires, notamment en Europe.

L’affaire pourrait marquer un tournant dans la perception des outils d’intelligence artificielle installés localement. L’application Claude Desktop, développée par la société Anthropic, est accusée d’avoir déployé, sans notification ni consentement explicite, des fichiers de configuration dans plusieurs navigateurs basés sur Chromium.

À l’origine de cette découverte, le chercheur en cybersécurité Alexander Hanff. En analysant les répertoires du navigateur Brave, il identifie un manifeste de type Native Messaging qu’il affirme ne jamais avoir installé. Ce fichier pointe vers un exécutable intégré à l’application Claude, établissant ainsi un pont technique entre le logiciel et le navigateur.

L’enquête, reproduite sur une seconde machine, révèle une portée plus large que prévu. Sept navigateurs sont concernés : Chrome, Brave, Edge, Arc, Vivaldi, Opera et Chromium. Plus surprenant encore, certains de ces navigateurs ne sont même pas présents sur le système analysé. Claude Desktop crée pourtant leurs répertoires, anticipant une éventuelle installation future. Les journaux internes du logiciel mentionnent par ailleurs plus de trente réinstallations automatiques de ces fichiers, rendant leur suppression inefficace.

Au cœur des inquiétudes, les capacités offertes par ce mécanisme. Le pont Native Messaging permettrait à une extension associée d’accéder à des éléments sensibles : sessions authentifiées, contenu du DOM, formulaires ou encore captures d’écran. En d’autres termes, toute activité réalisée dans un navigateur pourrait, techniquement, devenir accessible via cette interface, y compris des données bancaires ou administratives.

Anthropic reconnaît elle-même les limites de sécurité de son extension “Claude for Chrome”, encore en phase bêta. Selon ses propres données, les attaques par injection de prompt affichent un taux de réussite significatif, pouvant atteindre près d’un quart des tentatives sans protection renforcée. Le dispositif installé par Claude Desktop pourrait ainsi constituer une passerelle potentielle pour exploiter ces vulnérabilités en dehors du bac à sable du navigateur.

Sur le plan juridique, la situation interpelle. Alexander Hanff estime que ces pratiques pourraient contrevenir à l’article 5(3) de la directive ePrivacy, qui encadre strictement l’accès aux équipements des utilisateurs sans consentement préalable. En France, un tel comportement pourrait relever de la compétence de la CNIL, notamment en matière d’accès non autorisé à des systèmes informatiques.

Le chercheur appelle à une évolution rapide des pratiques d’Anthropic. Il recommande que l’installation de ce type de passerelle soit soumise à un consentement explicite, limitée au navigateur effectivement utilisé, et pleinement visible dans les paramètres de l’application. Une exigence de transparence qui, dans le contexte actuel de méfiance croissante envers les technologies intrusives, apparaît difficilement contournable.

Sources :
Les Numériques – That Privacy Guy

Actualités :

Claude Desktop : polémique autour d’un accès navigateur installé sans consentement

Laisser un commentaire Annuler la réponse

Liens utiles :

Nos réseaux sociaux

Vous devriez également aimer

Digital Crimes Unit : l’unité secrète de Microsoft qui traque les cybercriminels dans le monde entier

Cyberattaque Fédération française de tir : 274.000 licenciés potentiellement touchés par une fuite de données

Google : Sundar Pichai révèle des vérités troublantes sur l’IA et la singularité

Laisser un commentaire Annuler la réponse