Claude Desktop modifie les autorisations logicielles sans consentement, selon un chercheur
Anthropic, champion autoproclamé de l'IA responsable, préinstalle discrètement un accès à vos sessions navigateur
y compris pour des logiciels que vous n'avez pas encore installés, selon un chercheur
Quand on installe Claude Desktop sur macOS, on ne s'attend pas à ce que l'application s'immisce discrètement dans la configuration de navigateurs que l'on n'a pas encore installés. C'est pourtant ce qu'un chercheur en vie privée a découvert en avril 2026 : l'application d'Anthropic dépose, sans consentement ni information préalable, un fichier de configuration qui pré-autorise ses extensions à prendre le contrôle du navigateur, y compris pour des navigateurs absents de la machine. Une affaire qui met en lumière les tensions profondes entre la course aux fonctionnalités agentiques et les exigences fondamentales du droit à la vie privée.
Tout commence par un débogage de routine. Alexander Hanff, consultant en vie privée et contributeur occasionnel au Register, examine les hôtes de Native Messaging enregistrés dans Brave Browser lorsqu'il tombe sur un fichier qu'il n'a jamais installé :
~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.jsonCe manifeste est le document qu'un navigateur Chromium consulte lorsqu'une extension souhaite appeler un exécutable local. Les hôtes Native Messaging s'exécutent en dehors du bac à sable du navigateur, au même niveau de privilèges que l'utilisateur. En clair : si une extension listée dans ce fichier est présente dans le navigateur, elle peut déclencher un binaire local avec les droits complets de la session utilisateur.
Hanff n'a jamais installé d'extension de navigateur Anthropic. Claude Desktop l'a fait à sa place, sans divulgation ni autorisation. Le fichier préautorise trois identifiants d'extensions Chrome, dont celle de Claude, à invoquer le binaire situé dans /Applications/Claude.app/Contents/Helpers/chrome-native-host.
Sept navigateurs ciblés, dont certains absents de la machine
En approfondissant son audit sur une deuxième machine, Hanff constate l'étendue réelle du phénomène. Il retrouve des fichiers identiques dans les répertoires de configuration de Chrome, Edge, Arc, Vivaldi, Opera, Chromium et Brave. Sept manifestes, tous parfaitement identiques octet pour octet. Sur cette deuxième machine, seuls quatre navigateurs sur sept sont effectivement installés.
Claude Desktop a créé les répertoires parents NativeMessagingHosts pour ces quatre navigateurs absents, et y a déposé les manifestes. Si ces navigateurs sont un jour installés, le pont sera déjà en place, pré-autorisé, dès le premier lancement. Anthropic prépare donc silencieusement l'avenir de la machine à l'insu de son propriétaire.
Les journaux de Claude Desktop eux-mêmes confirment l'opération : trente et un événements d'installation sont enregistrés sous le nom de sous-système interne Chrome Extension MCP. Les horodatages de modification des manifestes montrent que les fichiers sont réécrits à chaque lancement de l'application. Supprimer manuellement un manifeste ne suffit pas : il réapparaît dès la prochaine ouverture de Claude Desktop.
Des capacités d'accès aux sessions authentifiées
La question n'est pas seulement celle du consentement, c'est aussi celle de ce que ce pont permet techniquement. Selon la documentation officielle d'Anthropic, Claude for Chrome « partage l'état de connexion du navigateur » et peut donc agir en tant qu'utilisateur sur n'importe quel site où il est déjà authentifié. Les capacités documentées incluent la lecture de l'état du DOM, l'extraction de données structurées depuis des pages web, le remplissage de formulaires et l'automatisation de tâches répétitives.
Concrètement, si l'extension est activée, Claude a accès en lecture et en écriture aux pages ouvertes, quelle que soit leur nature : messagerie professionnelle, espace bancaire, console d'administration d'une infrastructure de production. Le pont s'exécute hors du bac à sable du navigateur, sans qu'aucune invite de permission ne soit affichée à l'utilisateur.
Hanff souligne par ailleurs qu'Anthropic reconnaît dans sa propre documentation de lancement que Claude for Chrome est vulnérable aux attaques par injection de prompt dans 23,6 % des cas sans mesures d'atténuation, et dans 11,2 % des cas avec les défenses actuelles. Avec le pont préinstallé sur l'ordinateur, une injection de prompt réussie dispose d'un chemin vers un binaire s'exécutant hors du bac à sable, avec les privilèges de l'utilisateur. thatprivacyguy
Un schéma en onze points d'opacité
Hanff recense onze pratiques qu'il qualifie de dark patterns :
Déploiement forcé à travers les frontières de confiance entre applications ; absence totale d'opt-in ; difficulté de suppression (le fichier est réécrit à chaque démarrage) ; pré-autorisation d'extensions non installées ; nommage générique masquant la portée réelle de l'autorisation ; création de répertoires pour des navigateurs non présents ; déploiement dans des navigateurs qu'Anthropic déclare elle-même ne pas encore prendre en charge ; liste de cibles fixe sans visibilité pour l'utilisateur.
Sur ce dernier point, la contradiction est saisissante : la documentation publique d'Anthropic indique que l'intégration Chrome ne prend en charge que Chrome et Edge, et ne supporte pas Brave, Arc ou d'autres navigateurs Chromium. Pourtant, les journaux de Claude Desktop enregistrent des installations dans Brave, Arc, Chromium, Vivaldi et Opera.
Le débat sur le terme « spyware »
La qualification juridique fait l'objet d'un débat parmi les experts. Noah M. Kenney, fondateur du cabinet conseil Digital 520, conteste l'emploi du terme « spyware », qui implique traditionnellement une exfiltration active et clandestine de données. Ce qui est décrit ici est différent : une couche d'intégration préinstallée, dormante jusqu'à ce qu'une extension de navigateur la déclenche.
Kenney reconnaît néanmoins que le risque est bien réel : le dispositif crée un pont persistent et pré-autorisé entre des extensions de navigateur et un exécutable local s'exécutant hors du bac à sable, installé sans information claire de l'utilisateur et résistant à la suppression. Du point de vue de la sécurité, cela élargit significativement la surface d'attaque.
Kenney souligne également que les utilisateurs n'ont pas l'habitude qu'une application de bureau modifie silencieusement d'autres applications, a fortiori celles d'éditeurs tiers.
Une probable infraction au droit européen
Sur le plan juridique, l'argument est plus solide. L'article 5(3) de la directive ePrivacy (2002/58/CE) exige des prestataires de services qu'ils obtiennent le consentement explicite de l'utilisateur avant tout accès à ses données sur son terminal, sauf si cet accès est strictement nécessaire à la fourniture du service.
Kenney indique que les opérateurs argueront probablement qu'il s'agit d'une expérience produit unifiée, mais que les régulateurs européens interprètent l'expression « strictement nécessaire » de façon restrictive. Installer silencieusement des intégrations entre applications, en particulier dans des navigateurs pour lesquels l'utilisateur n'a pas donné son accord, risque fort de ne pas relever de cette exception, ce qui représente un risque réglementaire crédible.
Hanff n'a pas encore déposé de plainte formelle, mais indique qu'il le fera si Anthropic ne corrige pas le processus d'installation de Claude Desktop.
Un silence assourdissant de la part d'Anthropic
Anthropic n'a pas répondu aux demandes de commentaire formulées par The Register. Malwarebytes, qui a contacté Anthropic de son côté, n'a pas davantage reçu de réponse officielle. Plusieurs utilisateurs sur Mastodon, Reddit et LinkedIn ont confirmé les conclusions du chercheur.
Ce silence est d'autant plus difficile à justifier qu'il existe par ailleurs un bogue non corrigé dans l'hôte Native Messaging de Claude Desktop, qui cause des conflits entre les enregistrements de Claude Code et de Claude Desktop, rendant l'extension Chrome incompatible avec Claude Code. Ce bogue a été clos automatiquement par un robot GitHub le 28 février, sans résolution.
Un contexte de confiance déjà érodé chez Anthropic
L'affaire du pont navigateur ne survient pas dans le vide. Elle s'inscrit dans une séquence de plusieurs incidents survenus en quelques semaines à peine, qui dessinent un tableau préoccupant de la rigueur opérationnelle d'Anthropic.
Le 31 mars 2026, c'est le code source intégral de Claude Code qui se retrouve publiquement accessible sur le registre npm. La cause : un fichier de source map inclus par erreur dans le paquet npm officiel @anthropic-ai/claude-code, version 2.1.88. Résultat : 512 000 lignes de TypeScript, représentant 1 906 fichiers, exposées publiquement. Une archive du dépôt a été forkée plus de 41 500 fois sur GitHub avant qu'Anthropic ne puisse réagir, disséminant l'ensemble du code source dans l'écosystème.
Anthropic a reconnu l'incident dans un communiqué, qualifiant l'événement « d'erreur humaine » dans le processus de publication, et précisant qu'aucune donnée client ni aucune clé d'accès n'avaient été exposées. La cause technique est triviale : le runtime Bun, utilisé dans la chaîne de compilation, génère des fichiers de source map par défaut, et personne n'avait ajouté l'instruction d'exclusion correspondante dans le fichier .npmignore. Boris Cherny, responsable de Claude Code chez Anthropic, a confirmé qu'il s'agissait d'une erreur de développeur ordinaire, ajoutant, non sans ironie, que la totalité de ses contributions à Claude Code avaient elles-mêmes été rédigées par Claude Code.
La fuite n'a pas seulement exposé la propriété intellectuelle d'Anthropic. Des acteurs malveillants ont immédiatement capitalisé sur l'incident pour publier des paquets npm contrefaits reprenant les noms de dépendances internes exposés dans le code, dans l'espoir de mener des attaques par confusion de dépendances contre les développeurs cherchant à compiler le code source divulgué. De manière aggravante, une attaque distincte et non liée sur la chaîne d'approvisionnement npm s'est produite le même jour : des versions malveillantes du client HTTP ont été publiées, intégrant un cheval de Troie d'accès à distance. Les développeurs ayant mis à jour Claude Code entre 00h21 et 03h29 UTC ce jour-là ont pu installer ce composant compromis.
La fuite du code source a par ailleurs révélé plusieurs éléments internes embarrassants : des indicateurs de fonctionnalités non publiées, un mode baptisé KAIROS permettant à Claude Code d'opérer comme agent de fond en tâche de fond pendant l'inactivité de l'utilisateur, et un « mode discret » conçu pour masquer les contributions des employés d'Anthropic aux projets open source. Ce n'est pas la première fois qu'un tel incident se produit : une fuite similaire avait eu lieu en février 2025, ce qui fait de cet événement au minimum le deuxième incident du genre en treize mois. Claude Fast
Quelques jours plus tôt, une mauvaise configuration du système de gestion de contenu d'Anthropic avait également rendu publics des milliers de fichiers internes, dont des ébauches de billets de blog sur des modèles non encore annoncés, un incident qualifié de « fuite Mythos » par la presse spécialisée.
Les bonnes pratiques que personne ne discute
Hanff formule des recommandations qui n'ont rien d'inédit dans le domaine du logiciel de bureau. Lors du premier lancement, une boîte de dialogue devrait demander à l'utilisateur s'il souhaite activer l'intégration navigateur. L'installation du manifeste Native Messaging ne devrait intervenir qu'à la suite de l'installation effective de l'extension appariée, pas des semaines à l'avance. Le déploiement devrait être limité au navigateur concerné, sans préinscription dans des navigateurs tiers absents. Une section des paramètres de Claude devrait lister toutes les intégrations système enregistrées avec la possibilité de les révoquer durablement.
Malwarebytes conclut qu'Anthropic voulait manifestement proposer des capacités similaires à Claude for Chrome sur l'ensemble des navigateurs Chromium, mais que cela ne justifie pas de le faire silencieusement et de préinstaller le manifeste dans les répertoires de profil de multiples navigateurs, y compris ceux qui ne sont pas encore installés.
L'enjeu de réputation pour l'IA « safety-first »
Kenney formule l'enjeu de réputation avec netteté : quelle que soit l'issue juridique, un dommage réputationnel substantiel et une perte de confiance des utilisateurs résultent inévitablement d'une entreprise perçue comme engagée pour la sécurité et la vie privée, mais qui publie des outils qui semblent contredire ce positionnement.
L'affaire intervient dans un contexte plus large de tension entre les ambitions agentiques des LLM et les principes élémentaires de sécurité des postes de travail. Claude Desktop est précisément conçu pour opérer de façon autonome sur la machine de l'utilisateur, ce qui, par définition, requiert des accès étendus. Mais l'étendue de ces accès doit être négociée explicitement, pas imposée silencieusement lors de l'installation.
Anthropic se présente comme le laboratoire d'IA le plus attentif à la sécurité parmi ses pairs. Le standard auquel l'entreprise sera jugée est donc plus élevé que celui appliqué à d'autres acteurs. Corriger rapidement et publiquement ce comportement ne serait pas seulement une obligation légale, ce serait la démonstration que son positionnement safety-first résiste à l'épreuve des faits.
Pourquoi les agents IA ne devraient pas tourner sur votre machine principale
L'affaire du pont navigateur de Claude Desktop pose une question que la communauté de sécurité formule depuis plusieurs années, et que l'industrie des LLM agentiques commence à traiter sérieusement : un agent IA disposant d'accès étendus au système ne devrait pas s'exécuter sur la machine de production de son utilisateur.
Le principe est connu dans la sécurité informatique classique sous l'appellation de défense en profondeur. Il s'applique avec une acuité particulière aux agents agentiques, parce que leur modèle de menace est fondamentalement différent de celui d'une application ordinaire. Contrairement au sandboxing applicatif traditionnel, qui isole des chemins de code connus, le sandboxing des agents IA doit faire face à une situation où le code exécuté est généré à la volée par un LLM et ne peut pas être examiné ni approuvé avant son exécution. Le modèle de menace passe donc de « se protéger contre les bugs » à « se protéger contre du code adversarial arbitraire ».
En 2025, 80 % des organisations interrogées déclaraient avoir subi des incidents de sécurité liés à des agents IA, l'OWASP identifiant le détournement d'objectif d'agent et l'usage abusif d'outils comme les deux principaux vecteurs d'attaque.
La réponse technique à cette réalité a largement convergé autour de plusieurs primitives d'isolation. Les microVMs (dont Firecracker d'AWS est l'implémentation de référence) exécutent chaque session dans une machine virtuelle légère disposant de son propre noyau dédié. La frontière matérielle prévient des classes entières d'attaques par évasion de noyau. gVisor, développé par Google, implémente un noyau Linux en espace utilisateur qui intercepte les appels système sans nécessiter une VM complète, offrant un compromis entre surcharge de performances et garanties d'isolation. Des études d'infrastructure publiées en 2026 indiquent que les agents exécutés dans un bac à sable réduisent les incidents de sécurité d'environ 90 % par rapport aux agents disposant d'un accès non restreint à la machine hôte.
La conséquence pratique pour les équipes techniques est claire : un agent comme Claude Desktop, qui peut lire le DOM de vos sessions authentifiées, remplir des formulaires, enregistrer l'écran et déclencher des exécutables hors du bac à sable du navigateur, devrait fonctionner sur une machine dédiée ou dans un environnement virtualisé isolé du reste du parc. L'OWASP recommande explicitement de déployer un sandboxing des agents tiers dans des environnements isolés disposant d'un accès limité aux systèmes organisationnels, et de mettre en place une surveillance continue des comportements des agents pour détecter les anomalies qui pourraient indiquer des composants compromis.
Ce conseil prend une résonance particulière à la lecture du rapport Hanff. Le pont Native Messaging de Claude Desktop est précisément la catégorie de surface d'attaque que ce conseil vise à neutraliser : un pont persistant et pré-autorisé entre le navigateur et un exécutable local, exposant les sessions authentifiées, les mots de passe en cours de saisie, les jetons d'authentification à double facteur et l'état du DOM à travers tous les profils du navigateur simultanément. Sur une machine d'administrateur système ou de développeur, cette surface recouvre potentiellement l'ensemble de l'infrastructure de production.
L'argument industriel pour l'intégration poussée des agents sur le poste de travail est réel : l'automatisation des tâches répétitives, le contrôle du navigateur pour le remplissage de formulaires ou l'extraction de données structurées, ont une valeur productive mesurable. Mais cette valeur ne justifie pas l'absence de consentement, pas plus qu'elle ne dispense de l'isolation. Un agent agentique peut être utile et exécuté dans un environnement cloisonné. Les deux ne sont pas incompatibles, ils requièrent simplement une architecture délibérée plutôt qu'une installation par défaut silencieuse sur la machine principale de l'utilisateur.
Sources : Alexander Hanff, Malwarebytes , Zylos, Northflank
Et vous ?
Le Native Messaging est un mécanisme standard des navigateurs Chromium. Où tracer la frontière entre une intégration agentique légitime et une pratique abusive du point de vue du consentement ?
Répondre avec citation
Envoyé par abrillant
Partager