Claude version de bureau accusée de « logiciel espion » ! Modification des paramètres d'accès sans consentement, soupçonnée de violer la loi de l'Union européenne

Les chercheurs accusent la version de bureau de Claude d’avoir implanté des profils de configuration dans plusieurs navigateurs sans consentement, suscitant des controverses sur les « logiciels espions » et des préoccupations concernant la violation des lois européennes sur la vie privée. Les opinions sont partagées, des experts appelant à une plus grande transparence de la part des autorités pour garantir la sécurité informatique.

Les chercheurs en sécurité accusent la version de bureau de Claude d’être un « logiciel espion »

Avez-vous déjà installé la version de bureau de Claude ? Récemment, le chercheur en sécurité Alexander Hanff a publié un article affirmant que l’application de bureau de Claude, sans le consentement de l’utilisateur, installait discrètement des profils de configuration pour le traitement natif des messages dans les navigateurs de l’ordinateur.

Hanff a découvert en vérifiant un Mac que le programme écrivait dans des dossiers de sept navigateurs basés sur Chromium, dont Brave, Google Chrome, Edge, Arc, Vivaldi et Opera, des profils de configuration spécifiques, cette opération incluant même des navigateurs non encore installés.

Il indique que cette opération est par défaut masquée, dépourvue de mécanisme de consentement, et difficile à supprimer. Le programme autorise préalablement trois identifiants d’extensions de navigateur non encore installées, et la dénomination des fichiers ne précise pas clairement l’étendue des autorisations, en plus de préautoriser l’utilisation de fichiers exécutables natifs pour des navigateurs encore inexistants.

Si une extension est déclenchée, le fichier d’assistance peut lire l’état de connexion du navigateur, le contenu des pages web, remplir automatiquement des formulaires et capturer des captures d’écran.

Source : article d’Alexander Hanff. Les chercheurs accusent la version de bureau de Claude Code d’être un « logiciel espion »

Hanff indique que, selon ses données de sécurité internes d’Anthropic, le taux de réussite d’attaques par injection de prompts sur l’extension Chrome de Claude, sans mesures de défense, atteint 23,6 %, contre 11,2 % avec des protections en place.

Dans le cas où un pont serait préinstallé sur l’ordinateur portable de l’utilisateur, une attaque réussie d’injection de prompts via cette extension pourrait constituer une voie d’intrusion, permettant à un fichier d’assistance, via l’extension et le pont, de s’exécuter avec les privilèges de l’utilisateur en dehors du bac à sable du navigateur.

Il accuse que le comportement de la version de bureau de Claude ressemble à un « mode sombre » (design frauduleux) et à un « logiciel espion », ces opérations franchissant la frontière de la confiance et portant gravement atteinte à la vie privée des utilisateurs.

Possibilité de violation du droit européen ?

Hanff et Noah M. Kenney, fondateur de la société de conseil numérique Digital 520, soulignent que la version de bureau de Claude pourrait violer l’article 5, paragraphe 3, de la directive européenne sur la vie privée électronique, qui exige que les fournisseurs de services fournissent des informations claires et obtiennent le consentement des utilisateurs.

Hanff pense qu’en dehors des implications légales, cette entreprise, réputée pour sa sécurité et sa confidentialité, qui déploie de tels outils susceptibles de compromettre ses propres principes, pourrait subir un grave préjudice réputationnel et perdre la confiance des utilisateurs.

Cependant, Kenney reste réservé quant à l’utilisation du terme « logiciel espion » critiqué par Hanff, précisant que le programme ne vole pas activement de données, mais il reconnaît que l’interprétation stricte des exemptions nécessaires par les régulateurs européens rend très risqué tout déploiement sans consentement explicite, avec un risque élevé de sanctions réglementaires.

La version de bureau de Claude est-elle un logiciel espion ? Opinions divergentes

Le forum d’ingénieurs Hacker News a exprimé deux points de vue : certains ingénieurs ont confirmé, après tests, une installation non autorisée, et sont mécontents de la modification non autorisée des paramètres d’autres logiciels indépendants, estimant que cela détruit la confiance fondamentale entre logiciels.

Un autre groupe d’utilisateurs pense que, cela relève simplement du fonctionnement standard du traitement natif des messages, et sans preuve concrète d’une fuite de données, qualifier ce programme de logiciel espion semble exagéré.

L’ancien responsable technique d’Apple, Bogdan Grigorescu, a également appelé sur LinkedIn à exécuter ces outils d’IA générative sur des machines virtuelles ou des appareils dédiés, afin d’éviter de les installer sur des ordinateurs principaux traitant des finances ou des données sensibles.

L’expert en sécurité Jason Packer a quant à lui souligné que l’autorisation préalable par Anthropic de l’identifiant d’extension non encore publié dans la boutique d’applications est une pratique extrêmement mauvaise en matière de sécurité informatique.

Anthropic n’a pas encore répondu, la question de l’éthique de Claude mise à l’épreuve

Malwarebytes, spécialiste en détection de logiciels malveillants pour Mac, estime que le traitement natif des messages est une mécanique standard et légitime de Chromium, mais que le fait que la version de bureau de Claude écrive des profils dans plusieurs chemins de navigateur sans en informer clairement l’utilisateur augmente indubitablement la surface d’attaque de l’ordinateur.

Malwarebytes ajoute que, puisque le programme Claude nécessite une extension spécifique pour fonctionner pleinement, le qualifier de logiciel espion serait injuste. Cependant, Anthropic pourrait adopter une approche plus transparente, en informant clairement l’utilisateur des modifications apportées au système, afin qu’il puisse évaluer les risques et décider d’installer ou non.

Au moment de la publication de ces rapports, Anthropic n’a encore fait aucune déclaration officielle. Les médias « The Register » et Malwarebytes ont sollicité un commentaire auprès d’Anthropic, sans réponse à ce jour.