Chargement en cours
Actualités

Application IA accusée d’espionnage : sept navigateurs infiltrés sans consentement

bureau-navigateurs-internet.

L’univers de l’intelligence artificielle se retrouve une nouvelle fois sous les projecteurs pour une affaire de confidentialité numérique. Une application conçue par une entreprise spécialisée dans l’IA vient d’être épinglée pour des pratiques controversées concernant l’installation de composants informatiques sur les ordinateurs des utilisateurs, sans leur consentement préalable.

Des fichiers déposés à l’insu des utilisateurs

Alexander Hanff, expert reconnu en cybersécurité, a révélé une découverte troublante concernant l’application Claude Desktop développée par Anthropic. Cette dernière procède à l’installation automatique de fichiers de configuration dans pas moins de sept navigateurs différents basés sur Chromium.

Les navigateurs concernés par cette pratique incluent Chrome, Brave, Edge, Arc, Vivaldi, Opera et Chromium. Le plus inquiétant reste que ces fichiers sont installés même lorsque certains de ces navigateurs ne sont pas présents sur l’ordinateur de l’utilisateur.

Un mécanisme technique préoccupant

Le système mis en place par l’application repose sur le dépôt d’un « manifeste Native Messaging » qui établit un lien vers un fichier exécutable situé dans Claude.app. Cette opération s’effectue sans qu’aucune demande de consentement ne soit adressée aux utilisateurs.

La situation devient plus préoccupante lorsqu’on examine les permissions accordées. Le programme installé hérite automatiquement des privilèges de session de l’utilisateur, ce qui pourrait théoriquement lui permettre d’accéder à des données sensibles.

Des risques concrets pour la vie privée

Cette configuration technique ouvre potentiellement la porte à l’accès de sessions authentifiées ou de contenus affichés dans les navigateurs ouverts. Les implications en matière de sécurité et de confidentialité sont donc considérables.

Des failles de sécurité identifiées

L’extension Claude for Chrome présente par ailleurs des vulnérabilités significatives. En version bêta, elle affiche un taux de réussite d’attaque par injection de prompt de 23,6 %, un chiffre qui soulève des interrogations sur la robustesse du système.

Une légalité remise en question

Alexander Hanff ne s’est pas contenté de révéler ces pratiques. Il estime que cette méthode d’installation constitue une violation de l’article 5(3) de la directive ePrivacy, texte européen fondamental en matière de protection de la vie privée électronique.

Le chercheur souligne également que ces agissements pourraient enfreindre les législations nationales relatives à l’accès non autorisé aux systèmes informatiques, multipliant ainsi les cadres juridiques potentiellement violés.

Des solutions proposées par l’expert

Face à cette situation, Hanff formule des recommandations claires à destination d’Anthropic. Il préconise que l’entreprise mette en place un système de consentement explicite avant toute installation de composants sur les machines des utilisateurs.

Le spécialiste suggère également que l’intégration du pont de communication soit rendue visible et révocable directement depuis les réglages de Claude Desktop, offrant ainsi aux utilisateurs un contrôle effectif sur leur système.

Un appel à la conformité réglementaire

Alexander Hanff appelle publiquement à une modification des pratiques d’Anthropic afin de respecter les réglementations en vigueur concernant la protection des données personnelles. Cette affaire illustre les tensions croissantes entre innovation technologique et respect de la vie privée dans le secteur de l’intelligence artificielle.

Articles similaires

Laisser un commentaire

À ne pas manquer