Claude version de bureau accusée de « logiciel espion » ! Modification des paramètres d'accès sans consentement, soupçonnée de violer la loi de l'Union européenne

Les chercheurs accusent la version de bureau de Claude d’avoir implanté des profils dans plusieurs navigateurs sans consentement, suscitant des controverses sur les « logiciels espions » et des préoccupations concernant la violation des lois européennes sur la vie privée. Les opinions sont divisées, des experts appelant à une plus grande transparence de la part des autorités pour garantir la sécurité informatique.

Les chercheurs en sécurité informatique accusent Claude Code version de bureau d’être un « logiciel espion »

Avez-vous déjà installé la version de bureau de Claude ? Le chercheur en sécurité Alexander Hanff a récemment publié un article indiquant que l’application de bureau de Claude, sans le consentement de l’utilisateur, installait discrètement des profils de configuration pour la gestion native des messages dans le navigateur sur l’ordinateur.

Hanff a découvert en vérifiant un Mac que le programme écrivait dans des dossiers de sept navigateurs basés sur Chromium, dont Brave, Google Chrome, Edge, Arc, Vivaldi et Opera, des fichiers de configuration spécifiques. Cette opération d’écriture couvrait même des navigateurs que l’utilisateur n’avait pas encore installés.

Il souligne que cette opération est par défaut masquée, dépourvue de mécanisme de consentement, et difficile à supprimer. Le programme autorise également par avance trois identifiants d’extensions de navigateur non encore installées, et la dénomination des fichiers ne précise pas clairement l’étendue des autorisations, tout en pré-autorisation l’utilisation de fichiers d’exécution natifs pour des navigateurs encore inexistants.

Si l’extension est déclenchée, le fichier d’assistance pourra lire l’état de connexion du navigateur, le contenu des pages web, remplir automatiquement des formulaires et capturer des captures d’écran.

Source : article de Alexander Hanff. Les chercheurs en sécurité accusent la version de bureau de Claude d’être un « logiciel espion »

Hanff indique que, selon ses données de sécurité internes d’Anthropic, le taux de réussite d’attaques d’injection de prompts sur l’extension Chrome de Claude, sans mesures de défense, atteint 23,6 %, contre 11,2 % avec les protections existantes.

Dans le cas où un pontage est préinstallé sur l’ordinateur portable de l’utilisateur, une attaque d’injection de prompts réussie contre cette extension offrirait une voie d’intrusion, permettant via l’extension et le pontage de déclencher un fichier d’assistance fonctionnant en dehors du sandbox du navigateur avec les privilèges de l’utilisateur.

Il accuse que le comportement de la version de bureau de Claude s’apparente à un « mode sombre » (design frauduleux) et à un « logiciel espion », ce qui viole gravement la vie privée des utilisateurs en franchissant la frontière de la confiance.

Possibilité de violation du droit européen ?

Hanff et Noah M. Kenney, fondateur de la société de conseil numérique Digital 520, soulignent que la version de bureau de Claude pourrait enfreindre l’article 5, paragraphe 3, de la directive européenne sur la vie privée électronique, qui exige que les fournisseurs de services fournissent des informations claires et obtiennent le consentement des utilisateurs.

Hanff pense qu’en dehors des implications légales, cette entreprise, réputée pour son engagement envers la sécurité et la vie privée, en lançant de tels outils qui semblent contredire ses propres principes, pourrait subir un grave préjudice réputationnel et perdre la confiance des utilisateurs.

Cependant, Kenney reste réservé quant à l’utilisation du terme « logiciel espion » critiqué par Hanff, soulignant que le programme ne vole pas activement de données, mais il admet que l’interprétation stricte des exemptions nécessaires par les régulateurs européens rend très risqué tout déploiement sans consentement explicite, avec un risque élevé de sanctions réglementaires.

La version de bureau de Claude Code est-elle un logiciel espion ? Opinions divergentes

Le forum d’ingénieurs Hacker News a exprimé deux points de vue opposés : certains ingénieurs ont confirmé, après tests, la présence d’installations non autorisées, et sont mécontents de la modification non autorisée des paramètres d’autres logiciels indépendants, estimant que cela détruit la confiance fondamentale entre logiciels.

Un autre groupe d’utilisateurs pense que, cela relève simplement du fonctionnement standard du mécanisme de gestion native des messages, et tant qu’il n’y a pas de preuve concrète que le programme divulgue activement des données, le qualifier de logiciel espion semble exagéré.

L’ancien responsable technique d’Apple, Bogdan Grigorescu, a également appelé sur LinkedIn à ce que les utilisateurs exécutent ces outils d’IA générative dans des machines virtuelles ou sur des appareils dédiés, afin d’éviter de les installer sur leur ordinateur principal traitant des données personnelles ou confidentielles.

L’expert en sécurité Jason Packer a quant à lui critiqué la pratique d’Anthropic d’autoriser par défaut des identifiants d’extensions non encore officiellement publiés dans la boutique d’applications, qualifiant cette démarche de très mauvaise pratique en matière de sécurité informatique.

Anthropic n’a pas encore répondu, la question de l’éthique de Claude mise à l’épreuve

Malwarebytes, spécialiste en antivirus pour logiciels malveillants sur Mac, estime que la gestion native des messages est effectivement un mécanisme standard et légitime de Chromium, mais que le fait que Claude version de bureau écrive des profils dans plusieurs chemins de navigateurs sans en informer clairement l’utilisateur augmente indubitablement la surface d’attaque de l’ordinateur.

Malwarebytes précise que, puisque Claude nécessite des extensions spécifiques pour fonctionner pleinement, le qualifier de logiciel espion serait injuste. Cependant, Anthropic pourrait adopter une approche plus transparente, en informant clairement l’utilisateur des modifications apportées au système, afin qu’il puisse évaluer les risques et décider en connaissance de cause.

Au moment de la publication de ces rapports, Anthropic n’a encore publié aucune déclaration officielle. « The Register » et Malwarebytes ont tous deux sollicité un commentaire auprès d’Anthropic, sans réponse à ce jour.