M'enfin, c'était pour rendre service

L’installation de Claude Desktop entraîne la création, sur la machine hôte, de manifestes pré-autorisant la communication entre le client logiciel et les extensions de navigateur dédiées à Chrome. Ce mécanisme, dont l’utilisateur n’est pas informé, soulève des questions de conformité et de sécurité selon le consultant qui l’a découvert.

Non contente de contraindre certains utilisateurs à une vérification d’identité, Anthropic se montrerait-elle un peu laxiste vis-à-vis des permissions données à la version desktop du client Claude ? C’est l’hypothèse soulevée par Alexander Hanff, consultant spécialisé dans les enjeux de vie privée en ligne. Dans un long billet de blog publié le 18 avril et relayé, notamment, par The Register deux jours plus tard, il s’émeut qu’Anthropic « installe secrètement un spyware [sur votre machine] quand vous installez Claude Desktop ».

Découverte fortuite d’un json dédié à Claude

Au hasard d’un projet personnel mené sur son MacBook, Alexander Hanff décrit comment il est tombé sur un fichier émanant d’Anthropic et associé à Claude, dans l’un des dossiers de configuration de son navigateur Web, Brave. Baptisé com.anthropic.claude_browser_extension.json, le fichier révèle un pan de code de quelques lignes, qui comprend notamment trois clés destinées à l’identification de trois extensions Chrome et visant à faire de ces dernières des sources autorisées (allowed_origins) en vue d’interagir avec le navigateur.

Nous avons entrepris d’installer l’image de Claude Desktop sur une machine équipée de macOS, afin de voir si nous reproduisions cette découverte. Une rapide recherche, conduite via le terminal dans la foulée de l’installation, nous a permis de localiser le fichier .json concerné et d’en consulter le code, conforme à ce qu’a publié Alexander Hanff le 18 avril. Comme lui, nous constatons d’ailleurs que ce fichier, décrit comme un manifeste « Claude Browser Extension Native Host » est présent non seulement pour nos navigateurs courants, mais aussi pour des logiciels qui ne sont pas installés sur la machine.

{ 
 "name": "com.anthropic.claude_browser_extension",
 "description": "Claude Browser Extension Native Host",
 "path": "/Applications/Claude.app/Contents/Helpers/chrome-native-host",
 "type": "stdio",
 "allowed_origins": [
   "chrome-extension://dihbgbndebgnbjfmelmegjepbnkhlgni/",
   "chrome-extension://fcoeoabgfenejglbffodgkkbkcdhcgfn/",
   "chrome-extension://dngcpimnedloihjnnfngkgjoidhnaolf/"
 ]
}

Anthropic demande bien d’accepter les conditions d’utilisation de son logiciel au cours du processus, et un consentement lié aux cookies est affiché au premier lancement du client Claude, mais jamais il n’est fait mention, de façon explicite, d’une quelconque autorisation donnée au niveau des navigateurs web.

Nous avons reproduit ce comportement sur une machine équipée de Windows 11. L’installation de Claude Desktop fait en effet apparaître, dès le premier lancement, de nouvelles clés de registre dans le répertoire des navigateurs installés, avec renvoi vers un .json identique. À ses côtés, on note la présence d’un exécutable de type chrome-native-host.exe, alors qu’aucune extension Anthropic n’a jamais été installée sur la machine.

Un manifeste de « messagerie native »

À quoi peut donc bien servir ce fichier ? La plupart des navigateurs permettent la déclaration d’un manifeste de messagerie native (Native Messaging en VO), qui va créer une sorte de pont (bridge) entre une extension Web et une application installée en local sur la machine.

« Ceci permet que des applications natives puissent fournir un service à des extensions sans avoir besoin d’être atteignables via internet. Un exemple typique est le gestionnaire de mots de passe : l’application native s’occupe du stockage et du chiffrement des mots de passe et communique avec l’extension afin de remplir les formulaires web », illustre Mozilla dans sa documentation développeurs.

Dans le cas d’Anthropic, l’application Claude (Desktop ou Code) peut être amenée à communiquer avec un navigateur pour certaines fonctions d’automatisation (IA agentique). De la même façon, on peut appeler les binaires de l’application Claude depuis l’extension. On suppose donc que l’éditeur prépare le terrain, en positionnant, dès l’installation, les manifestes qui serviront à faire le pont avec le navigateur de l’utilisateur.

La méthode n’est pas du goût d’Alexander Hanff :

« Je n’ai installé aucune extension Anthropic pour mon navigateur. Je n’ai jamais installé d’extension Claude pour des raisons de confidentialité et de sécurité. J’ai installé Claude Desktop, l’application Mac, il y a quelque temps. C’est le seul élément sur cet ordinateur qui aurait pu créer ce fichier. Claude Desktop a accédé à Brave, un navigateur d’un fournisseur totalement différent, et a enregistré une porte dérobée pour une extension que je ne possède pas. »

Un problème de sécurité ?

Admettons avec lui que le procédé est un peu cavalier – un lieu commun dans l’univers de l’IA générative. Pour le consultant, elle soulève aussi un véritable problème de sécurité. Documentation d’Anthropic sur Claude Code with Chrome à l’appui, il remarque que quand une extension reliée par ce pont avec l’application installée en local, tout agent exécuté par le modèle accède à des droits équivalents à ceux de l’utilisateur enregistré sur la machine.

« Le pont s’exécute en dehors du bac à sable du navigateur avec un niveau de privilèges équivalent à l’utilisateur, et les hôtes de messagerie native n’apparaissent dans aucun processus macOS standard ou interface utilisateur d’autorisation, ils sont invoqués par le navigateur et communiquent via stdio. »

Pour appuyer sa critique, Hanff rappelle que, de l’aveu même d’Anthropic, l’utilisation de Claude in Chrome n’est pas anodine. En août dernier, lors de l’annonce de la mise à disposition en bêta de son extension pour Chrome, l’entreprise indiquait en effet que son composant était vulnérable à l’injection de prompt, c’est-à-dire l’envoi de commandes malveillantes susceptibles d’entraîner une action non sollicitée sur la machine hôte.

« Un exemple d’attaque réussie – avant la mise en place de nos nouvelles défenses – consistait en un courriel malveillant prétendant que, pour des raisons de sécurité, des courriels devaient être supprimés. Lors du traitement de la boîte de réception, Claude a suivi ces instructions et supprimé les courriels de l’utilisateur sans confirmation », écrivait alors Anthropic. L’entreprise ajoutait que sans ses nouvelles mesures de protection, sa red team avait réussi 23,6 % de ses attaques par injection.

Native Messaging n’est pas exempt de défauts

« La fonctionnalité préinstallée silencieusement sur l’ordinateur portable de chaque utilisateur ayant déjà exécuté Claude.app est, selon les propres mesures d’Anthropic, vulnérable à une injection de code environ une fois sur quatre. », en conclut Alexander Hanff.

S’il est vrai que la connexion d’une application AI à un navigateur soulève un risque d’attaque par injection de prompt sur la machine, la conclusion se révèle peut-être un peu hâtive : toutes les installations de Claude desktop sur Mac n’en sont pas pour autant vulnérables puisqu’il faut encore que l’extension associée soit installée pour que le pont opère.

Autrement dit, les vrais vecteurs d’attaque ne seraient pas le manifeste proprement dit, mais plutôt l’exécutable installé en local, ou les extensions autorisées par ledit manifeste.

On peut en revanche aller dans le sens d’Alexander Hanff en soulignant que Native Messaging en tant que tel n’est pas absolument exempt de défaut du point de vue de la sécurité. En 2024, des recherches conduites autour de l’implémentation de l’extension 1Password sur Chromium ont par exemple montré qu’il était possible de s’immiscer dans le protocole (attaque de type man in the middle), faute de vérification au moment d’enclencher la réponse des binaires aux demandes de l’extension.

À l’époque, le sujet n’avait pas été considéré comme critique, notamment parce que, pour être exploitée, cette vulnérabilité supposait que le code responsable de l’attaque et la cible tournent sous le même compte utilisateur. Corrigée tout de même au nom du principe de précaution chez Chromium, mais aussi chez 1Password et Firefox, elle se révèle aujourd’hui sous un jour plus sensible.

De façon plus anecdotique, on remarque que le comportement de ce composant chrome-native-host a donné lieu à un rapport de bug en janvier dernier sur le Github de Claude Code. À l’époque, ce n’était pas l’éventuel caractère intrusif de la démarche qui motivait la discussion, mais plutôt un conflit entre les .json dédiés respectivement à Claude Code et Claude Desktop.

Une infraction à la directive e-Privacy ?

Plus qu’une réelle faille de sécurité, il reste en revanche un comportement que l’on est en droit de qualifier de suspect, puisqu’il n’est pas annoncé. Hanff va plus loin, en affirmant qu’avec cet ajout sous-marin, Anthropic enfreint plusieurs lois, dont la fameuse directive européenne e-Privacy de 2002.

« Je tiens à être franc. Il s’agit d’une pratique douteuse. De plus, à mon avis professionnel, c’est une violation directe de l’article 5, paragraphe 3, de la directive 2002/58/CE, ainsi que de nombreuses lois relatives à l’accès et à l’utilisation abusive des ordinateurs (généralement du droit pénal), à une échelle suffisamment importante pour avoir des conséquences, chez un fournisseur qui a déployé des efforts considérables pour se forger une image de laboratoire d’IA soucieux de la sécurité. »

L’article concerné (voir texte intégral), qui motive les bandeaux de consentement sur le web ou la récente recommandation de la Cnil sur les pixels espion dans les emails, dispose pour mémoire qu’un acteur n’est autorisé à stocker ou accéder à des informations sur la machine de l’utilisateur qu’après consentement éclairé de ce dernier. Le texte tolère toutefois une exception pour finalités « strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».

La justice considèrerait-elle la création d’un pont Native Messaging comme nécessaire, alors que l’application Claude a vocation à fonctionner sans lien direct avec le navigateur ? Plutôt que d’attendre de voir ce qu’en pense la justice, le consultant suggère à Anthropic de supprimer ce pont, ou a minima de conditionner la création des manifestes à un consentement explicite. « Si ce n’est pas le cas, nous saurons ce que vaut réellement la politique d’Anthropic en matière de sécurité publique », lâche-t-il pour conclure.

S’il est tentant d’user de la commande rm pour évacuer ces .json non sollicités, leur suppression ne sera que de courte durée, puisque les fichiers sont recréés à chaque nouveau lancement de l’application Claude.

Nous aussi on va forker VS Code tiens !

SpaceX, désormais rapprochée de l’entreprise d’intelligence artificielle xAI, a annoncé la signature d’un partenariat avec l’éditeur de l’environnement de développement Cursor. Le deal prévoit une option d’achat à 60 milliards de dollars d’ici la fin de l’année.

Non contente de préparer la plus grande introduction en bourse de l’histoire, SpaceX vient de signer un partenariat avec l’entreprise éditrice de Cursor, un environnement de développement logiciel (IDE) basé sur l’intelligence artificielle. L’accord, résumé en un tweet, doit selon SpaceX permettre aux deux entreprises de « travailler en étroite collaboration pour créer la meilleure IA au monde pour le codage et le travail intellectuel ».

• Elon Musk fusionne SpaceX et xAI

SpaceX évoque l’utilisation, par Cursor, des capacités d’entraînement du million de puces H100 de son supercalculateur Colossus, pour « construire les modèles les plus utiles au monde ». En échange, l’entreprise d’Elon Musk disposera d’un « produit de pointe et d’un réseau de distribution performant auprès d’ingénieurs logiciels experts ».

Plus concrètement ? Les modalités précises de l’accord n’ont pas été détaillées, mais on comprend que Cursor a vocation à utiliser les infrastructures de xAI pour entraîner son propre modèle Composer, lancé fin 2025. En échange, xAI met la main sur une activité en fort développement, et se dote dans le même temps d’un produit populaire capable de rivaliser avec Claude Code d’Anthropic ou Codex d’OpenAI.

Dans ce contexte, Cursor accorde à SpaceX le droit de l’acquérir pour 60 milliards de dollars d’ici la fin de l’année. À défaut de transaction finalisée, SpaceX verserait à Cursor 10 milliards de dollars d’indemnités.

Cursor, l’IDE nativement tourné vers l’IA

Initialement conçu comme un fork de VS Code (Microsoft), Cursor se présente pour mémoire comme un environnement de développement nativement IA, mais destiné aux développeurs professionnels ou avertis.

La logique n’est pas celle du vibe coding (création semi-automatisée d’une application avec peu ou pas de compétences techniques), mais plutôt celle de l’usine logicielle : le développeur exploite des agents qui écrivent le code, exécutent les tests, préparent les déploiements, etc., au sein d’un environnement dont il est censé garder la maitrise.

Cursor 3, sorti début avril 2026, renforce cette dimension usine à agents, en permettant par exemple de gérer au sein d’une même interface des agents exécutés en local avec des modèles hébergés sur des infrastructures distantes ou des LLM commerciaux.

Historiquement, Cursor se voulait agnostique au niveau des modèles : son interface et l’abonnement associé permettent d’exploiter tous les produits courants du marché (OpenAI, Anthropic, etc.), avec un orchestrateur capable d’aller chercher le bon modèle pour la bonne tâche, à la façon de ce que propose un produit comme OpenRouter.

Fin 2025, Cursor a musclé son jeu avec la publication de Composer, son premier modèle agentique pour le code. Passé en version 1.5 en février, puis en version 2 en mars dernier, Composer revendique des performances supérieures à celles des modèles plus généralistes (Gemini, Claude, ChatGPT, etc.) sur les missions liées au code. Et Cursor a logiquement besoin de tenir son rang face aux progrès continus affichés par les modèles concurrents.

« Nous voulions aller beaucoup plus loin dans nos efforts d’entraînement, mais nous étions limités par les capacités de calcul. Grâce à ce partenariat, notre équipe s’appuiera sur l’infrastructure Colossus de xAI pour accroître considérablement les capacités de nos modèles. », affirme à ce niveau l’équipe de Cursor.

Une option de rachat sur fond de levée de fonds

Que ferait précisément xAI de Cursor si cette option d’achat à 60 milliards de dollars était exercée ? Difficile à dire à ce stade. En attendant de juger sur pièce, le deal annoncé par SpaceX interfère avec un processus de levée de fonds qui semblait déjà bien engagé.

CNBC révélait dimanche 19 avril que Cursor était en plein tour de table, avec l’ambition de réunir 2 milliards de dollars d’argent frais, sur une valorisation à 50 milliards de dollars, calculée avant recapitalisation. L’opération aurait notamment associé Andreessen Horowitz, NVIDIA et Thrive Capital, déjà actionnaires de Cursor.

Cette cinquième levée de fonds post-amorçage (série E) serait intervenue six mois après la précédente (série D) : en novembre 2025, Cursor avait annoncé avoir réuni 2,3 milliards de dollars, sur une valorisation (incluant les montants levés) de 29,3 milliards de dollars. À l’époque, Cursor indiquait avoir dépassé 1 milliard de dollars de chiffre d’affaires annualisé.

Les 60 milliards de dollars indiqués par SpaceX constitueraient un premium par rapport aux montants évoqués par la presse, mais l’horizon de réalisation, fixé « plus tard dans l’année » ne prend pas en compte l’évolution possible de la valorisation de Cursor.

Le deal ira-t-il à son terme ? Dans un contexte d’introduction en bourse pour SpaceX, le simple fait de montrer que les investissements pharaoniques de xAI dans les supercalculateurs Colossus trouvent des débouchés commerciaux est peut-être un signal largement suffisant pour justifier le versement de 10 milliards de dollars d’indemnités…