Une faille dans l'extension Chrome de Claude expose Gmail et Google Docs

Des chercheurs montrent qu'une extension malveillante peut détourner l'assistant Claude installé dans Chrome pour lire votre Gmail, vos Google Docs et votre agenda. Anthropic n'a toujours pas corrigé la faille, huit versions plus tard.

Une faille dans l'extension Chrome de Claude expose Gmail et Google Docs
© Posthumain

Vous n'avez rien cliqué. Vous n'avez rien approuvé. Et pourtant, l'assistant Claude niché dans votre navigateur vient d'ouvrir votre boîte Gmail et de lire vos courriels, à la demande d'une autre extension que vous aviez installée en pensant qu'elle était inoffensive.

C'est le scénario décrit par des chercheurs en sécurité à propos de l'extension Claude pour Chrome (le module d'Anthropic qui installe son IA Claude directement dans le navigateur Google Chrome, où elle peut lire les pages et agir à votre place).

Précisons le périmètre : la faille ne touche pas le modèle Claude lui-même, ni l'application Claude classique. Elle réside dans l'extension navigateur, ce petit module en version d'essai réservé aux abonnés payants.

Deux failles, en réalité. Elles ont été signalées à Anthropic en mai et restent exploitables aujourd'hui. Voilà pourquoi cette histoire mérite qu'on s'y arrête plus d'une minute.

Dans cet article :

  • Un faux clic, et Claude ouvre votre Gmail
  • Pourquoi un simple « clic » suffit à tout déclencher
  • Huit versions plus tard, la faille est toujours là
  • Ce n'est pas qu'un problème de Claude
  • La stratégie Posthumain

Un faux clic et Claude ouvre votre Gmail

La découverte vient d'Ax Sharma, chercheur chez Manifold Security. Une extension malveillante capable d'exécuter du code sur le site claude.ai peut pousser Claude à déclencher l'une de ses tâches préprogrammées, sans que vous ayez levé le petit doigt.

Concrètement, l'attaque vise l'accès authentifié de Claude à des services connectés comme Gmail, Google Docs, Google Agenda ou Salesforce (un logiciel de gestion de la relation client très utilisé en entreprise) [1].

Les tâches en question ne sont pas des démonstrations anodines. Trois d'entre elles demandent à Claude de lire vos messages Gmail, d'ouvrir votre dernier Google Doc pour en lire les commentaires, ou de consulter vos disponibilités d'agenda [2].

C'est exactement le genre de contenu qu'on ne veut pas voir aspiré en silence. Pour comprendre l'ampleur du souci, il faut plonger un instant dans la mécanique. Rassurez-vous, elle est plus simple qu'il n'y paraît.

Pourquoi un simple « clic » suffit à tout déclencher

Quand un vrai humain clique sur un bouton, le navigateur marque l'événement comme authentique en réglant un paramètre nommé « isTrusted » sur « vrai ». Quand c'est un bout de code (JavaScript) qui fabrique le clic, le navigateur la règle automatiquement sur « faux ».

Posthumain n'existe que grâce aux abonnements.

Aucun algorithme. Aucune pub.

❤️ Soutenez-nous aujourd'hui et accédez immédiatement à tous les articles Premium.

JE M'ABONNE

Le problème est là et il tient en une ligne : l'extension Claude ne vérifie jamais cette propriété. Elle traite un faux clic généré par script exactement comme un vrai clic humain [4]. Une autre extension n'a qu'à injecter le bon élément dans la page, lui coller l'identifiant d'une tâche autorisée et simuler le clic.

La démonstration de Manifold tient en six lignes de code. La correction, elle, tiendrait en une seule ligne à ajouter en tête du gestionnaire de clic. Cette ligne n'a pas été livrée.

Reste la question du réglage et c'est là que la gravité bascule. En mode par défaut, dit « Demander avant d'agir », le faux clic charge bien la tâche, mais une fenêtre d'approbation s'affiche encore avant toute lecture réelle. La faille est alors notée 7,7 sur 10, gravité « élevée » [3].

Si le mode automatique « Agir sans demander » est activé, la fenêtre disparaît et Claude exécute la tâche en silence. Le score grimpe alors à 9,6 sur 10, catégorie « critique » [3].

Diagramme en barres comparant le score de gravité CVSS de la faille de l'extension Claude pour Chrome : 7,7 (élevé) dans le mode par défaut « Demander avant d'agir » et 9,6 (critique) dans le mode « Agir sans demander ».
La même faille passe de « élevée » (7,7) à « critique » (9,6) dès qu'un utilisateur active le mode automatique « Agir sans demander » : l'attaque s'exécute alors sans aucune fenêtre d'approbation. – Source : Manifold Security – ClaudeBleed Reopened, juillet 2026. © Posthumain

Il existe une seconde faille, plus structurelle. Le panneau latéral de Claude bascule en mode privilégié, sans consentement, dès qu'il est chargé avec un certain paramètre dans son adresse web [4]. Un bandeau rouge « HAUT RISQUE » finit par apparaître, mais après coup : il vous prévient de ce qui se passe, il ne l'empêche pas.

Huit versions plus tard, la faille est toujours là

C'est peut-être le détail le plus gênant de l'affaire. Manifold a signalé les deux problèmes à Anthropic le 21 mai, contre la version 1.0.72 de l'extension [2].

Anthropic a accusé réception dès le lendemain, puis a clos les deux signalements. En interne, le ticket censé couvrir ce type de faille a été marqué « résolu » avant le 9 juin.

Sauf que le code, lui, n'a pas bougé. En rouvrant la dernière version 1.0.80, publiée le 7 juillet et distribuée à tous les abonnés payants, les chercheurs ont retrouvé le gestionnaire de clic identique octet pour octet à la version vulnérable de départ [1]. Huit mises à jour ont défilé entre-temps, sans toucher la ligne fautive.

Cet écart entre le ticket clos et le code inchangé rappelle furieusement un épisode précédent. Il s'appelle ClaudeBleed, et il éclaire toute cette histoire. D'ailleurs, ce n'est pas la première fois qu'Anthropic scrute son propre modèle avec plus d'attention que ses correctifs.

Ce n'est pas qu'un problème de Claude

ClaudeBleed, révélé en mai par la société LayerX, décrivait déjà le même défaut de fond : l'extension faisait confiance à l'origine claude.ai plutôt qu'au script qui parlait réellement. Anthropic avait alors restreint l'injection de commandes arbitraires, en enfermant les appels extérieurs dans un jeu fixe de neuf tâches autorisées [2].

La nouvelle faille montre que ce garde-fou est contournable : le clic qui déclenche la liste autorisée accepte toujours les faux clics. C'est ce que les experts appellent un problème de « député confus », un programme doté de vrais pouvoirs qui agit pour le mauvais donneur d'ordre.

Et le mal dépasse largement Anthropic. Les mêmes attaques par injection frappent tous les navigateurs dopés à l'IA. En août 2025, l'équipe du navigateur Brave a montré qu'un simple commentaire piégé sur Reddit pouvait pousser le navigateur Comet de Perplexity à extraire l'adresse courriel d'une victime et un code à usage unique [5].

Pendant son propre pilote, Anthropic avait mesuré le phénomène sans fard. Avec ses défenses de départ, une attaque par injection sur son agent réussissait dans 23,6 % des cas ; avec les nouvelles protections, le taux tombait à 11,2 % [6].

Diagramme en barres montrant le taux de réussite des attaques par injection contre l'agent Claude dans le navigateur : 23,6 % sans les nouvelles protections d'Anthropic, ramené à 11,2 % avec elles.
Même après les défenses ajoutées par Anthropic pendant son pilote, une attaque sur neuf réussissait encore (11,2 %). Le chiffre montre que le risque est réduit, pas éliminé. – Source : Anthropic – Piloting Claude for Chrome, août 2025. © Posthumain

Autrement dit, mieux, mais pas résolu. Le directeur de la sécurité d'OpenAI a lui-même reconnu que l'injection reste un problème de sécurité non résolu, que ses adversaires chercheront sans relâche à exploiter. Le mécanisme profond, c'est que ces modèles distinguent mal d'où vient une instruction.

Ce brouillage entre l'aide qui vous fait gagner du temps et l'outil qui décide à votre place, on l'a déjà exploré dans notre analyse de l'IA au travail.

La stratégie Posthumain

Impossible de « patcher » vous-même le code de l'extension : le correctif dépend d'Anthropic. Mais vous n'êtes pas sans levier. La bonne question n'est pas « faut-il paniquer », c'est « quel réglage exact réduit le rayon d'explosion si quelque chose tourne mal ».

Qui est réellement concerné

Le critère est simple. Si vous faites tourner l'extension Claude pour Chrome et au moins une autre extension capable d'agir sur claude.ai, vous êtes dans le périmètre [7]. Or ce type de permission est très courant.

Le risque n'est pas théorique pour autant. Il faut qu'un attaquant vous ait d'abord fait installer une extension malveillante. La leçon vaut donc d'abord pour les personnes qui empilent les modules de navigateur sans en auditer aucun.

Le bon réglage

La ligne de défense la plus rentable, celle qui change vraiment votre exposition, tient dans un seul interrupteur enfoui dans les paramètres de l'extension. La désactiver ramène la faille critique au rang de simple nuisance, sans toucher au confort d'usage. Encore faut-il savoir lequel activer, lequel couper, et dans quel ordre, précisément.

Alors, quel réglage exact, et quels gestes complémentaires pour vraiment fermer la porte ?

On vous détaille l'interrupteur précis à couper, l'audit d'extensions à faire en cinq minutes, et les deux réflexes de cloisonnement de comptes que recommandent les analystes en sécurité pour les données vraiment sensibles.

Suivez-nous sur les réseaux sociA0110010001