Claude version de bureau accusée de « logiciel espion » ! Modification des paramètres d'accès sans consentement, soupçonnée de violer la loi de l'Union européenne

Les chercheurs accusent la version de bureau de Claude d’avoir implanté des profils de configuration dans plusieurs navigateurs sans consentement, suscitant des controverses sur les « logiciels espions » et des préoccupations concernant la violation des lois européennes sur la vie privée. Les opinions sont partagées, des experts appelant à une plus grande transparence de la part des autorités pour garantir la sécurité informatique.

Les chercheurs en sécurité accusent la version de bureau de Claude d’être un « logiciel espion »

Avez-vous déjà installé la version de bureau de Claude ? Récemment, le chercheur en sécurité Alexander Hanff a publié un message indiquant que l’application de bureau de Claude, sans le consentement de l’utilisateur, installait discrètement des profils de configuration pour le traitement natif des messages dans les navigateurs de l’ordinateur.

Hanff, en vérifiant un Mac, a découvert que le programme écrivait dans des dossiers de sept navigateurs basés sur Chromium, dont Brave, Google Chrome, Edge, Arc, Vivaldi et Opera, en y insérant des profils de configuration spécifiques, opération qui couvrait même des navigateurs non encore installés par l’utilisateur.

Il souligne que cette opération est par défaut masquée, dépourvue de mécanisme d’accord de l’utilisateur, et difficile à supprimer. Le programme autorise d’avance trois identifiants d’extensions de navigateur non encore installées, et la dénomination des fichiers ne précise pas clairement la portée de l’autorisation, tout en pré-autorisation l’utilisation de fichiers exécutables natifs pour des navigateurs encore inexistants.

Si l’extension est déclenchée, le fichier d’assistance pourra lire l’état de connexion du navigateur, le contenu des pages web, remplir automatiquement des formulaires et capturer des captures d’écran.

Source : article d’Alexander Hanff, chercheurs en sécurité accusant la version de bureau de Claude Code d’être un « logiciel espion »

Hanff indique que, selon ses données de sécurité internes d’Anthropic, le taux de réussite d’attaques par injection de prompts sur l’extension Chrome de Claude, sans mesures de défense, atteint 23,6 %, contre 11,2 % avec les protections existantes.

Dans le cas où un pontage est préinstallé sur l’ordinateur portable de l’utilisateur, une attaque par injection de prompts réussie sur cette extension offrirait une voie d’intrusion, permettant via l’extension et le pontage de déclencher un fichier d’assistance fonctionnant en dehors du sandbox du navigateur avec les privilèges de l’utilisateur.

Il accuse que le comportement de la version de bureau de Claude s’apparente à un « mode sombre » (design frauduleux) et à un « logiciel espion », ce qui viole gravement la vie privée des utilisateurs en franchissant la frontière de la confiance.

Possibilité de violation de la loi européenne ?

Hanff, avec Noah M. Kenney, fondateur de la société de conseil numérique Digital 520, souligne que la version de bureau de Claude pourrait enfreindre l’article 5, paragraphe 3, de la directive européenne sur la vie privée électronique, qui exige que les fournisseurs de services fournissent des informations claires et obtiennent le consentement de l’utilisateur.

Hanff pense qu’en dehors de l’impact légal, cette entreprise, réputée pour sa sécurité et sa confidentialité, qui déploie de tels outils semblant contredire ses propres principes, pourrait subir un grave préjudice réputationnel et perdre la confiance des utilisateurs.

Cependant, Kenney reste réservé quant à l’utilisation du terme « logiciel espion » critiqué par Hanff, précisant que le programme ne vole pas activement de données, mais il reconnaît que l’interprétation des exemptions nécessaires par les régulateurs européens est très stricte, et que l’installation et l’intégration de fonctionnalités dans d’autres applications sans consentement explicite comportent un risque réglementaire élevé.

La version de bureau de Claude est-elle un logiciel espion ? Les opinions sont partagées

Le forum d’ingénieurs Hacker News a des avis divergents : certains ingénieurs ayant testé ont confirmé des installations non autorisées, et sont mécontents de la modification non autorisée d’autres logiciels, estimant que cela détruit la confiance fondamentale entre logiciels.

D’autres internautes pensent que, cela relève simplement du fonctionnement standard du traitement natif des messages, et qu’il est exagéré de qualifier de logiciel espion tant qu’aucune preuve concrète de fuite de données n’est apportée.

L’ancien responsable technique d’Apple, Bogdan Grigorescu, a également appelé sur LinkedIn à exécuter ces outils d’IA générative dans une machine virtuelle ou un appareil dédié, afin d’éviter de traiter des données personnelles ou confidentielles sur l’ordinateur principal.

L’expert en sécurité Jason Packer souligne que l’autorisation préalable par Anthropic de l’identifiant d’extension non encore publié dans la boutique d’applications est une pratique extrêmement mauvaise en sécurité informatique.

Anthropic n’a pas encore répondu, la question éthique autour de Claude mise à l’épreuve

Malwarebytes, spécialiste en antivirus pour logiciels malveillants Mac, estime que le traitement natif des messages est une mécanique légitime et standard dans Chromium, mais que le fait que Claude de manière non transparente ait écrit des profils dans plusieurs chemins de navigateurs augmente indubitablement la surface d’attaque de l’ordinateur.

Malwarebytes note que, pour faire fonctionner pleinement Claude, il faut une extension spécifique, et qualifier cela de logiciel espion serait injuste. Cependant, Anthropic pourrait adopter une approche plus transparente, en informant clairement les utilisateurs des modifications apportées au système, afin qu’ils puissent évaluer eux-mêmes les risques et décider d’installer ou non.

Au moment de la publication de ces rapports, Anthropic n’a encore publié aucune déclaration officielle. « The Register » et Malwarebytes ont sollicité un commentaire d’Anthropic, mais n’ont pas encore reçu de réponse.