L'extension Chrome de Claude, utilisée par plus de 3 millions de personnes, contenait une faille permettant à n'importe quel site web d'injecter des commandes dans l'IA sans aucun clic de l'utilisateur. Anthropic a corrigé le problème en version 1.0.41, mais uniquement pour ceux qui ont mis à jour.
Il était temps. Oren Yomtov, chercheur chez Koi Security, a rendu publics ses travaux le 26 mars dernier. Il avait découvert, en décembre 2025, que l'extension Chrome de Claude acceptait les instructions de n'importe quel sous-domaine en *.claude.ai, sans distinction. Visite d'une page piégée, aucune demande d'autorisation, aucun clic : Claude exécutait les commandes de l'attaquant comme si elles venaient de vous. Vos tokens Gmail, votre historique Google Drive, vos conversations avec l'IA, vos mails sortants, bref, tout était accessible.
Le chercheur a démontré deux failles enchaînées. Anthropic recourt à Arkose Labs pour ses vérifications CAPTCHA, et les composants de ce prestataire tournent sur a-cdn.claude.ai, un sous-domaine propriétaire d'Anthropic.
L'extension leur accordait les mêmes droits de messagerie qu'à claude.ai lui-même. Oren Yomtov a ensuite remonté les numéros de version dans les URL du CDN d'Arkose Labs, par force brute, jusqu'à trouver une version ancienne encore active. Celle-là présentait une faille XSS basée sur le DOM qui acceptait des données de n'importe quelle page sans vérifier l'expéditeur, puis restituait ces données en HTML brut via dangerouslySetInnerHTML. Un attaquant intégrait le composant vulnérable dans une iframe invisible, envoyait sa charge via postMessage, et le script injecté déclenchait la commande dans l'extension. La victime ne voyait rien. Comme toujours.
Un prestataire CAPTCHA comme vecteur d'entrée
La faille n'était pas directement dans le code d'Anthropic mais chez un sous-traitant, Arkose Labs, dont les composants hébergés sous un sous-domaine Claude héritaient automatiquement des mêmes autorisations. C'est une dynamique de sécurité fréquemment sous-estimée dans les grandes organisations. Un tiers hébergé sous votre propre domaine passe les filtres de confiance sans que personne n'ait explicitement validé son niveau d'accès. Dans ce cas précis, Arkose Labs avait même laissé des versions anciennes et vulnérables de ses composants accessibles via des URL versionnées prévisibles.
Anthropic a a été super réactif après la divulgation responsable d'Oren Yomtov via HackerOne le 26 décembre 2025 : confirmation en moins de 24 heures, correctif déployé le 15 janvier 2026 dans la version 1.0.41 de l'extension. La règle permissive *.claude.ai a été remplacée par une vérification exacte de https://claude.ai. Arkose Labs, prévenu début février, a corrigé sa faille XSS le 19 février 2026. L'URL vulnérable renvoie désormais une erreur 403. Aucune exploitation réelle n'a été confirmée à ce jour.
Vérifiez votre version maintenant
Alors certes, les failles n'ont pas fait grand bruit. Certes, aucun incident notoire n'est remonté, soit du côté d'Anthropic, soit de la part d'utilisateurs et encore moins de l'équipe qui a découvert de pot aux roses.
Il n'empêche. Si vous utilisez l'extension Claude dans Chrome, rendez-vous sur chrome://extensions, localisez Claude, et vérifiez que le numéro de version affiché est au minimum 1.0.41. Toute version antérieure était potentiellement exposée. Et comme toujours, modifiez vos mots de passe, assurez-vous que votre antivirus a fait son tour de surveillance et surveillez vos messages en cas de tentative de phishing, tout en gardant un œil sur vos mouvements bancaires.
Enfin, selon Oren Yomtov, plus une extension d'IA gagne en capacités, comme naviguer dans votre navigateur, lire vos identifiants, envoyer des e-mails en votre nom ou encore répondre à vos prompts, plus elle vaut quelque chose pour un attaquant.
Source : SOCradar
