Cette extension très populaire pour Google Chrome met vos données personnelles en danger, faites attention
Des chercheurs en cybersécurité viennent de tirer la sonnette d’alarme. Une extension de Google Chrome permettrait en effet à des hackers de subtiliser vos données en un rien de temps…
La plupart du temps, les extensions de navigateurs sont aussi pratiques qu’inoffensives, mais pas toujours. En effet, certains outils d’intelligence artificielle sont en mesure de voler vos fichiers dès leur ouverture. On a par exemple pu voir Urban VPN Proxy, une extension « recommandée » par Chrome, siphonner purement et simplement les conversations IA de millions d’utilisateurs. Mais cette fois, il ne s’agit pas d’un obscur développeur inconnu du grand public…
Il est en effet question de Claude, une IA développée par la célèbre Anthropic. L’outil concerné est l’extension particulièrement populaire Claude Code, qui présentait un bug baptisé ShadowPrompt. Des chercheurs en sécurité de Koi Security ont en effet pu constater que Claude Code était conçue pour faire confiance à l’ensemble des ressources provenant de « claude.ai ».
Google Chrome : « Il suffit de visiter une page, et un attaquant contrôle entièrement votre navigateur »
Et c’est là que les ennuis commencent. En effet, l’extension pour Chrome faisait également confiance à certains sous-domaines de claude.ai. Le problème, c’est que l’un d’entre eux, baptisé a-cdn.claude[.]ai, permettait aux hackers d’y exécuter leur propre code sans que la victime ne s’en rende compte.
Les hackers étaient alors en mesure de subtiliser des informations sensibles, telles que des conversations et même des mots de passe, en un clin d’œil. Oren Yomtov, chercheur chez Koi Security, affirme ainsi : « Aucun clic, aucune demande d’autorisation n’était nécessaire pour que le mal soit fait. » « Il suffit de visiter une page, et un attaquant contrôle entièrement votre navigateur », explique le chercheur.
Lire aussi – Les criminels ont déjà largement adopté l’IA pour vous arnaquer, cette étude le prouve
Heureusement, Anthropic a depuis corrigé cette faille via la version 1.0.41 de son extension. Il est donc fortement recommandé de vérifier que cette version est bien installée sur votre navigateur Chrome.
« Plus les assistants IA de navigateur deviennent capables, plus ils deviennent des cibles de valeur pour les attaques », ajoute Oren Yomtov. « Une extension capable de naviguer dans votre navigateur, de lire vos identifiants et d’envoyer des e-mails en votre nom est un agent autonome. Et la sécurité de cet agent n’est solide que comme le maillon le plus faible de son périmètre de confiance. »
