● Next INpact Télécom 📅 22/04/2026 à 17:11

Claude Desktop s’arroge le droit de pré-autoriser ses extensions pour navigateurs

Géopolitique 👤 Alexandre Laurent
Illustration
Claude Desktop s’arroge le droit de pré-autoriser ses extensions pour navigateurs M'enfin, c'était pour rendre service Illustration : Flock Alexandre Laurent Le 22 avril à 17h11 L’installation de Claude Desktop entraîne la création, sur la machine hôte, de manifestes pré-autorisant la communication entre le client logiciel et les extensions de navigateur dédiées à Chrome. Ce mécanisme, dont l’utilisateur n’est pas informé, soulève des questions de conformité et de sécurité selon le consultant qui l’a découvert. Une erreur ? Non contente de contraindre certains utilisateurs à une vérification d’identité, Anthropic se montrerait-elle un peu laxiste vis-à-vis des permissions données à la version desktop du client Claude ? C’est l’hypothèse soulevée par Alexander Hanff, consultant spécialisé dans les enjeux de vie privée en ligne. Dans un long billet de blog publié le 18 avril et relayé, notamment, par The Register deux jours plus tard, il s’émeut qu’Anthropic « installe secrètement un spyware [sur votre machine] quand vous installez Claude Desktop ». Découverte fortuite d’un json dédié à Claude Au hasard d’un projet personnel mené sur son MacBook, Alexander Hanff décrit comment il est tombé sur un fichier émanant d’Anthropic et associé à Claude, dans l’un des dossiers de configuration de son navigateur Web, Brave. Baptisé com.anthropic.claude_browser_extension.json, le fichier révèle un pan de code de quelques lignes, qui comprend notamment trois clés destinées à l’identification de trois extensions Chrome et visant à faire de ces dernières des sources autorisées (allowed_origins) en vue d’interagir avec le navigateur. Nous avons entrepris d’installer l’image de Claude Desktop sur une machine équipée de macOS, afin de voir si nous reproduisions cette découverte. Une rapide recherche, conduite via le terminal dans la foulée de l’installation, nous a permis de localiser le fichier .json concerné et d’en consulter le code, conforme à ce qu’a publié Alexander Hanff le 18 avril. Comme lui, nous constatons d’ailleurs que ce fichier, décrit comme un manifeste « Claude Browser Extension Native Host » est présent non seulement pour nos navigateurs courants, mais aussi pour des logiciels qui ne sont pas installés sur la machine. { "name": "com.anthropic.claude_browser_extension", "description": "Claude Browser Extension Native Host", "path": "/Applications/Claude.app/Contents/Helpers/chrome-native-host", "type": "stdio", "allowed_origins": [ "chrome-extension://dihbgbndebgnbjfmelmegjepbnkhlgni/", "chrome-extension://fcoeoabgfenejglbffodgkkbkcdhcgfn/", "chrome-extension://dngcpimnedloihjnnfngkgjoidhnaolf/" ] } Anthropic demande bien d’accepter les conditions d’utilisation de son logiciel au cours du processus, et un consentement lié aux cookies est affiché au premier lancement du client Claude, mais jamais il n’est fait mention, de façon explicite, d’une quelconque autorisation donnée au niveau des navigateurs web. Nous avons reproduit ce comportement sur une machine équipée de Windows 11. L’installation de Claude Desktop fait en effet apparaître, dès le premier lancement, de nouvelles clés de registre dans le répertoire des navigateurs installés, avec renvoi vers un .json identique. À ses côtés, on note la présence d’un exécutable de type chrome-native-host.exe, alors qu’aucune extension Anthropic n’a jamais été installée sur la machine. Nous avons pu reproduire le comportement dénoncé sur Windows – capture Next Un manifeste de « messagerie native » À quoi peut donc bien servir ce fichier ? La plupart des navigateurs permettent la déclaration d’un manifeste de messagerie native (Native Messaging en VO), qui va créer une sorte de pont (bridge) entre une extension Web et une application installée en local sur la machine. « Ceci permet que des applications natives puissent fournir un service à des extensions sans avoir besoin d’être atteignables via internet. Un exemple typique est le gestionnaire de mots de passe : l’application native s’occupe du stockage et du chiffrement des mots de passe et communique avec l’extension afin de remplir les formulaires web », illustre Mozilla dans sa documentation développeurs. Dans le cas d’Anthropic, l’application Claude (Desktop ou Code) peut être amenée à communiquer avec un navigateur pour certaines fonctions d’automatisation (IA agentique). De la même façon, on peut appeler les binaires de l’application Claude depuis l’extension. On suppose donc que l’éditeur prépare le terrain, en positionnant, dès l’installation, les manifestes qui serviront à faire le pont avec le navigateur de l’utilisateur. La méthode n’est pas du goût d’Alexander Hanff : « Je n’ai installé aucune extension Anthropic pour mon navigateur. Je n’ai jamais installé d’extension Claude pour des raisons de confidentialité et de sécurité. J’ai installé Claude Desktop, l’application Mac, il y a quelque temps. C’est le seul élément sur cet ordinateur qui aurait pu créer ce fichier. Claude Desktop a accédé à Brave, un navigateur d’un fournisseur totalement différent, et a enregistré une porte dérobée pour une extension que je ne possède pas. » Un problème de sécurité ? Admettons avec lui que le procédé est un peu cavalier – un lieu commun dans l’univers de l’IA générative. Pour le consultant, elle soulève aussi un véritable problème de sécurité. Documentation d’Anthropic sur Claude Code with Chrome à l’appui, il remarque que quand une extension reliée par ce pont avec l’application installée en local, tout agent exécuté par le modèle accède à des droits équivalents à ceux de l’utilisateur enregistré sur la machine. « Le pont s’exécute en dehors du bac à sable du navigateur avec un niveau de privilèges équivalent à l’utilisateur, et les hôtes de messagerie native n’apparaissent dans aucun processus macOS standard ou interface utilisateur d’autorisation, ils sont invoqués par le navigateur et communiquent via stdio. » Pour appuyer sa critique, Hanff rappelle que, de l’aveu même d’Anthropic, l’utilisation de Claude in Chrome n’est pas anodine. En août dernier, lors de l’annonce de la mise à disposition en bêta de son extension pour Chrome, l’entreprise indiquait en effet que son composant était vulnérable à l’injection de prompt, c’est-à-dire l’envoi de commandes malveillantes susceptibles d’entraîner une action non sollicitée sur la machine hôte. « Un exemple d’attaque réussie – avant la mise en place de nos nouvelles défenses – consistait en un courriel malveillant prétendant que, pour des raisons de sécurité, des courriels devaient être supprimés. Lors du traitement de la boîte de réception, Claude a suivi ces instructions et supprimé les courriels de l’utilisateur sans confirmation », écrivait alors Anthropic. L’entreprise ajoutait que sans ses nouvelles mesures de protection, sa red team avait réussi 23,6 % de ses attaques par injection. Native Messaging n’est pas exempt de défauts « La fonctionnalité préinstallée silencieusement sur l’ordinateur portable de chaque utilisateur ayant déjà exécuté Claude.app est, selon les propres mesures d’Anthropic, vulnérable à une injection de code environ une fois sur quatre. », en conclut Alexander Hanff. S’il est vrai que la connexion d’une application AI à un navigateur soulève un risque d’attaque par injection de prompt sur la machine, la conclusion se révèle peut-être un peu hâtive : toutes les installations de Claude desktop sur Mac n’en sont pas pour autant vulnérables puisqu’il faut encore que l’extension associée soit installée pour que le pont opère. Autrement dit, les vrais vecteurs d’attaque ne seraient pas le manifeste proprement dit, mais plutôt l’exécutable installé en local, ou les extensions autorisées par ledit manifeste. On peut en revanche aller dans le sens d’Alexander Hanff en soulignant que Native Messaging en tant que tel n’est pas absolument exempt de défaut du point de vue de la sécurité. En 2024, des recherches conduites autour de l’implémentation de l’extension 1Password sur Chromium ont par exemple montré qu’il était possible de s’immiscer dans le protocole (attaque de type man in the middle), faute de vérification au moment d’enclencher la réponse des binaires aux demandes de l’extension. À l’époque, le sujet n’avait pas été considéré comme critique, notamment parce que, pour être exploitée, cette vulnérabilité supposait que le code responsable de l’attaque et la cible tournent sous le même compte utilisateur. Corrigée tout de même au nom du principe de précaution chez Chromium, mais aussi chez 1Password et Firefox, elle se révèle aujourd’hui sous un jour plus sensible. De façon plus anecdotique, on remarque que le comportement de ce composant chrome-native-host a donné lieu à un rapport de bug en janvier dernier sur le Github de Claude Code. À l’époque, ce n’était pas l’éventuel caractère intrusif de la démarche qui motivait la discussion, mais plutôt un conflit entre les .json dédiés respectivement à Claude Code et Claude Desktop. Une infraction à la directive e-Privacy ? Plus qu’une réelle faille de sécurité, il reste en revanche un comportement que l’on est en droit de qualifier de suspect, puisqu’il n’est pas annoncé. Hanff va plus loin, en affirmant qu’avec cet ajout sous-marin, Anthropic enfreint plusieurs lois, dont la fameuse directive européenne e-Privacy de 2002. « Je tiens à être franc. Il s’agit d’une pratique douteuse. De plus, à mon avis professionnel, c’est une violation directe de l’article 5, paragraphe 3, de la directive 2002/58/CE, ainsi que de nombreuses lois relatives à l’accès et à l’utilisation abusive des ordinateurs (généralement du droit pénal), à une échelle suffisamment importante pour avoir des conséquences, chez un fournisseur qui a déployé des efforts considérables pour se forger une image de laboratoire d’IA soucieux de la sécurité. » L’article concerné (voir texte intégral), qui motive les bandeaux de consentement sur le web ou la récente recommandation de la Cnil sur les pixels espion dans les emails, dispose pour mémoire qu’un acteur n’est autorisé à stocker ou accéder à des informations sur la machine de l’utilisateur qu’après consentement éclairé de ce dernier. Le texte tolère toutefois une exception pour finalités « strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ». La justice considèrerait-elle la création d’un pont Native Messaging comme nécessaire, alors que l’application Claude a vocation à fonctionner sans lien direct avec le navigateur ? Plutôt que d’attendre de voir ce qu’en pense la justice, le consultant suggère à Anthropic de supprimer ce pont, ou a minima de conditionner la création des manifestes à un consentement explicite. « Si ce n’est pas le cas, nous saurons ce que vaut réellement la politique d’Anthropic en matière de sécurité publique », lâche-t-il pour conclure. S’il est tentant d’user de la commande rm pour évacuer ces .json non sollicités, leur suppression ne sera que de courte durée, puisque les fichiers sont recréés à chaque nouveau lancement de l’application Claude. Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous Refhi Premium À l'instant Message 1 Signaler Bloquer cet utilisateur Ben, on n'a pas dit non, donc c'est oui ? Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui
← Retour