Quand on installe Claude Desktop sur macOS, on ne s'attend pas à ce que l'application s'immisce discrètement dans la configuration de navigateurs que l'on n'a pas encore installés. C'est pourtant ce qu'un chercheur en vie privée a découvert en avril 2026 : l'application d'Anthropic dépose, sans consentement ni information préalable, un fichier de configuration qui pré-autorise ses extensions à prendre le contrôle du navigateur, y compris pour des navigateurs absents de la machine. Une affaire qui met en lumière les tensions profondes entre la course aux fonctionnalités agentiques et les exigences fondamentales du droit à la vie privée.Tout commence par un débogage de routine. Alexander Hanff, consultant en vie privée et contributeur occasionnel au Register, examine les hôtes de Native Messaging enregistrés dans Brave Browser lorsqu'il tombe sur un fichier qu'il n'a jamais installé :
~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
Ce manifeste est le document qu'un navigateur Chromium consulte lorsqu'une extension souhaite appeler un exécutable local. Les hôtes Native Messaging s'exécutent en dehors du bac à sable du navigateur, au même niveau de privilèges que l'utilisateur. En clair : si une extension listée dans ce fichier est présente dans le navigateur, elle peut déclencher un binaire local avec les droits complets de la session utilisateur.
Hanff n'a jamais installé d'extension de navigateur Anthropic. Claude Desktop l'a fait à sa place, sans divulgation ni autorisation. Le fichier préautorise trois identifiants d'extensions Chrome, dont celle de Claude, à invoquer le binaire situé dans /Applications/Claude.app/Contents/Helpers/chrome-native-host.
Sept navigateurs ciblés, dont certains absents de la machine
En approfondissant son audit sur une deuxième machine, Hanff constate l'étendue réelle du phénomène. Il retrouve des fichiers identiques dans les répertoires de configuration de Chrome, Edge, Arc, Vivaldi, Opera, Chromium et Brave. Sept manifestes, tous parfaitement identiques octet pour octet. Sur cette deuxième machine, seuls quatre navigateurs sur sept sont effectivement installés.
Claude Desktop a créé les répertoires parents NativeMessagingHosts pour ces quatre navigateurs absents, et y a déposé les manifestes. Si ces navigateurs sont un jour installés, le pont sera déjà en place, pré-autorisé, dès le premier lancement. Anthropic prépare donc silencieusement l'avenir de la machine à l'insu de son propriétaire.
Les journaux de Claude Desktop eux-mêmes confirment l'opération : trente et un événements d'installation sont enregistrés sous le nom de sous-système interne Chrome Extension MCP. Les horodatages de modification des manifestes montrent que les fichiers sont réécrits à chaque lancement de l'application. Supprimer manuellement un manifeste ne suffit pas : il réapparaît dès la prochaine ouverture de Claude Desktop.
Des capacités d'accès aux sessions authentifiées
La question n'est pas seulement celle du consentement, c'est aussi celle de ce que ce pont permet techniquement. Selon la documentation officielle d'Anthropic, Claude for Chrome « partage l'état de connexion du navigateur » et peut donc agir en tant qu'utilisateur sur n'importe quel site où il est déjà authentifié. Les capacités documentées incluent la lecture de l'état du DOM, l'extraction de données structurées depuis des pages web, le remplissage de formulaires et l'automatisation de tâches répétitives.
Concrètement, si l'extension est activée, Claude a accès en lecture et en écriture aux pages ouvertes, quelle que soit leur nature : messagerie professionnelle, espace bancaire, console d'administration d'une infrastructure de production. Le pont s'exécute hors du bac à sable du navigateur, sans qu'aucune invite de permission ne soit affichée à l'utilisateur.
Hanff souligne par ailleurs qu'Anthropic reconnaît dans sa propre documentation de lancement que Claude for Chrome est vulnérable aux attaques par injection de prompt dans 23,6 % des cas sans mesures d'atténuation, et dans 11,2 % des cas avec les défenses actuelles. Avec le pont préinstallé sur l'ordinateur, une injection de prompt réussie dispose d'un chemin vers un binaire s'exécutant hors du bac à sable, avec les privilèges de l'utilisateur. thatprivacyguy
Un schéma en onze points d'opacité
Hanff recense onze pratiques qu'il qualifie de dark patterns :
Déploiement forcé à travers les frontières de confiance entre applications ; absence totale d'opt-in ; difficulté de suppression (le fichier est réécrit à chaque démarrage) ; pré-autorisation d'extensions non installées ; nommage générique masquant la portée réelle de l'autorisation ; création de répertoires pour des navigateurs non présents ; déploiement dans des navigateurs qu'Anthropic déclare elle-même ne pas encore prendre en charge ; liste de cibles fixe sans visibilité pour l'utilisateur.
Sur ce dernier point, la contradiction est saisissante : la documentation publique d'Anthropic indique que l'intégration Chrome ne prend en charge que Chrome et Edge, et ne supporte pas Brave, Arc ou d'autres navigateurs Chromium. Pourtant, les journaux de Claude Desktop enregistrent des installations dans Brave, Arc, Chromium, Vivaldi et Opera.
Le débat sur le terme « spyware »
La qualification juridique fait l'objet d'un débat parmi les experts. Noah M. Kenney, fondateur du cabinet conseil Digital 520, conteste l'emploi du terme « spyware », qui implique traditionnellement une exfiltration active et clandestine de données. Ce qui est décrit ici est différent : une couche d'intégration préinstallée, dormante jusqu'à ce qu'une extension de navigateur la déclenche.
Kenney reconnaît néanmoins que le risque est bien réel : le dispositif crée un pont persistent et pré-autorisé entre des extensions de navigateur et un exécutable local s'exécutant hors du bac à sable, installé sans information claire de l'utilisateur et résistant à la suppression. Du point de vue de la sécurité, cela élargit significativement la surface d'attaque.
Kenney souligne également que les utilisateurs n'ont pas l'habitude qu'une application de bureau modifie silencieusement d'autres applications, a fortiori celles d'éditeurs tiers.
Une probable infraction au droit européen
Sur le plan juridique, l'argument est plus solide. L'article 5(3) de la directive ePrivacy (2002/58/CE) exige des prestataires de services qu'ils obtiennent le consentement explicite de l'utilisateur avant tout accès à ses données sur son terminal, sauf si cet accès est strictement nécessaire à la fourniture du service.
Kenney indique que les opérateurs argueront probablement qu'il s'agit d'une expérience produit unifiée, mais que les régulateurs européens interprètent l'expression « strictement nécessaire » de façon restrictive. Installer silencieusement des intégrations entre applications, en particulier dans des navigateurs pour lesquels l'utilisateur n'a pas donné son accord, risque fort de ne pas relever de cette exception, ce qui représente un risque réglementaire crédible.
Hanff n'a pas encore déposé de plainte formelle, mais indique qu'il le fera si Anthropic ne corrige pas le processus d'installation de Claude Desktop.
Un silence assourdissant de la part d'Anthropic
Anthropic n'a pas répondu aux demandes de commentaire formulées par The Register. Malwarebytes, qui a contacté Anthropic de son côté, n'a pas davantage reçu de réponse officielle. Plusieurs utilisateurs sur Mastodon, Reddit et LinkedIn ont confirmé les conclusions du chercheur.
Ce silence est d'autant plus difficile à justifier qu'il existe par...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par abrillant
