Aller au contenu principal
Le Fil IA
Le Fil IAL'actu IA, décodée
Claude Desktop s’arroge le droit de pré-autoriser ses extensions pour navigateurs
ÉthiqueNext INpact3sem

Claude Desktop s’arroge le droit de pré-autoriser ses extensions pour navigateurs

Résumé IASource uniqueImpact UE
Source originale ↗·

Lors de l'installation de Claude Desktop, le logiciel d'Anthropic crée automatiquement sur la machine hôte un fichier de configuration baptisé com.anthropic.claudebrowserextension.json, présent dans les dossiers système des navigateurs web installés. Ce manifeste, découvert fortuitement le 18 avril par Alexander Hanff, consultant spécialisé dans la vie privée en ligne, contient les identifiants de trois extensions Chrome, dont certaines absentes de la machine, et les déclare comme sources autorisées à communiquer avec l'application locale. La découverte a été relayée par The Register le 20 avril, puis vérifiée de façon indépendante sur macOS et Windows 11 : dans les deux cas, le fichier apparaît dès le premier lancement, sans que l'utilisateur en soit explicitement informé. Sur Windows, l'installation génère en outre de nouvelles clés de registre et dépose un exécutable chrome-native-host.exe, alors même qu'aucune extension Anthropic n'a jamais été installée.

Ce comportement soulève des questions légitimes de consentement et de sécurité. Anthropic demande bien aux utilisateurs d'accepter ses conditions d'utilisation, et affiche un écran de gestion des cookies au premier lancement, mais nulle part il n'est fait mention explicite de la création de ces autorisations au niveau des navigateurs. Pour un consultant en vie privée, l'absence de transparence sur ce mécanisme constitue un manquement, quel que soit l'objectif déclaré. En termes de surface d'attaque, un pont permanent entre une application desktop et des extensions de navigateur représente un vecteur potentiel si l'une des extensions référencées venait à être compromise ou si le fichier de configuration était modifié par un tiers malveillant.

Le mécanisme en jeu, dit "Native Messaging", est en réalité une fonctionnalité standard des navigateurs modernes : il permet à une application installée en local de communiquer avec une extension web via un canal dédié, sans passer par internet. C'est exactement ainsi que fonctionnent la plupart des gestionnaires de mots de passe, qui font le lien entre leur coffre-fort local et leurs extensions de remplissage automatique. La pratique n'est donc pas anormale en elle-même, mais l'absence d'information explicite lors de l'installation place Anthropic en porte-à-faux vis-à-vis des attentes de transparence qui entourent les logiciels manipulant des données sensibles. La découverte intervient dans un contexte où le modèle économique d'Anthropic repose sur la confiance des utilisateurs, et où la firme a déjà subi des critiques pour ses pratiques de vérification d'identité. Une clarification publique sur la finalité précise de ce manifeste et une mention explicite dans le processus d'installation sembleraient être le minimum attendu.

Impact France/UE

Ce comportement non documenté lors de l'installation pourrait constituer un manquement au RGPD en matière d'information préalable des utilisateurs, exposant Anthropic à un examen des autorités de protection des données européennes.

Dans nos dossiers

Anthropic

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Meta formerait des agents IA en surveillant les souris et claviers de ses employés
1Ars Technica AI 

Meta formerait des agents IA en surveillant les souris et claviers de ses employés

Meta va commencer à collecter les mouvements de souris, clics et frappes clavier de ses employés américains pour entraîner ses futurs agents d'intelligence artificielle. L'initiative, baptisée Model Capability Initiative, a été annoncée en interne via des mémos publiés par l'équipe Meta Superintelligence Labs et révélée par Reuters. Le logiciel de suivi fonctionnera sur des applications et sites web professionnels spécifiques, et prendra également des captures d'écran périodiques pour fournir du contexte aux données d'entraînement. Selon le mémo interne, "c'est là où tous les employés de Meta peuvent aider nos modèles à s'améliorer simplement en faisant leur travail quotidien." Cette approche vise à produire des données d'entraînement de haute qualité pour les agents IA, c'est-à-dire des systèmes capables d'accomplir des tâches complexes de manière autonome sur un ordinateur. Reproduire fidèlement les comportements humains réels dans des environnements de travail concrets est un défi majeur pour ce type d'IA, et les données synthétiques ou publiques ne suffisent plus. En utilisant le travail quotidien de milliers d'employés comme source de données, Meta espère accélérer le développement d'agents capables de naviguer dans des interfaces réelles. Cette initiative s'inscrit dans une course effrénée entre les grandes entreprises technologiques pour développer des agents IA performants, un marché que Microsoft, Google et OpenAI ciblent également activement. La question de la surveillance des employés à des fins commerciales soulève néanmoins des questions éthiques et juridiques, notamment en matière de consentement et de vie privée au travail. Il reste à voir si Meta étendra ce programme à ses employés hors des États-Unis, où les réglementations comme le RGPD européen imposent des contraintes bien plus strictes.

UELe RGPD impose un consentement explicite pour la collecte de données comportementales des employés, rendant une extension de ce programme aux salariés européens de Meta juridiquement très complexe, voire impossible sans refonte du dispositif.

ÉthiqueActu
1 source
Google n'a pas modifié les fonctions IA locales de Chrome, elles restent aussi confuses qu'avant
2Ars Technica AI 

Google n'a pas modifié les fonctions IA locales de Chrome, elles restent aussi confuses qu'avant

Une confusion a récemment agité les utilisateurs de Chrome sur ordinateur : certains ont constaté que leur navigateur téléchargeait discrètement un modèle d'intelligence artificielle de 4 Go, le Gemini Nano de Google. Sur les réseaux sociaux, la découverte a été interprétée comme un déploiement massif et soudain d'IA sur toutes les installations Chrome. En réalité, ce comportement n'a rien de nouveau. Google avait annoncé dès 2024 l'intégration de capacités d'IA locale dans Chrome, destinées à alimenter des fonctionnalités comme "Help Me Write" (aide à la rédaction), l'organisation automatique des onglets et la détection des tentatives d'arnaque. Le modèle est téléchargé en arrière-plan depuis plusieurs années déjà, ce n'est pas une nouveauté technique, mais une nouveauté dans la perception des utilisateurs. Ce que cet épisode révèle avant tout, c'est l'incapacité chronique de Google à communiquer clairement sur ses déploiements d'IA. L'entreprise intègre des modèles lourds dans ses produits sans informer explicitement les utilisateurs, ce qui génère régulièrement des incompréhensions et une méfiance justifiée. Pour les 4 milliards d'utilisateurs de Chrome dans le monde, la question de ce qui tourne en local sur leur machine, et pourquoi, est pourtant loin d'être anodine, notamment sur des appareils aux ressources limitées. Ce flou s'inscrit dans une tendance plus large chez Google, qui multiplie les annonces d'IA sans toujours en expliquer les implications concrètes. Chrome embarque désormais bien d'autres fonctionnalités alimentées par Gemini : un chatbot en mode écran partagé, ainsi qu'une capacité à automatiser la navigation web. Le traitement local via Gemini Nano vise à préserver la confidentialité des données en évitant les allers-retours vers les serveurs cloud, un argument de poids face aux critiques sur la vie privée. Reste que sans transparence sur ce qui est installé, quand et pourquoi, la confiance des utilisateurs risque de s'éroder plus vite que les bénéfices de ces fonctionnalités ne s'imposent.

UELes centaines de millions d'utilisateurs européens de Chrome sont concernés par ce manque de transparence de Google sur le déploiement silencieux de Gemini Nano, une pratique potentiellement en tension avec les obligations d'information du RGPD.

ÉthiqueOutil
1 source
3The Verge 

Les célébrités pourront localiser et demander la suppression des deepfakes IA sur YouTube

YouTube étend son outil de détection des deepfakes générés par intelligence artificielle aux célébrités hollywoodiennes. La fonctionnalité, baptisée "likeness detection", analyse automatiquement les vidéos publiées sur la plateforme pour identifier les contenus synthétiques représentant des personnalités publiques inscrites au programme. Ces dernières peuvent ainsi surveiller les apparitions non autorisées de leur image et soumettre des demandes de retrait, évaluées au cas par cas selon la politique de confidentialité de YouTube, sans garantie de suppression systématique. Cet outil représente une avancée concrète dans la lutte contre les deepfakes non consentis, un phénomène en forte croissance depuis la démocratisation des générateurs vidéo par IA. Pour les personnalités publiques, la capacité de détecter et de contester automatiquement ces contenus réduit considérablement le délai entre la publication d'un faux et son signalement, limitant ainsi la propagation de désinformation ou de contenus compromettants. La démarche signale également que YouTube commence à prendre une responsabilité active sur ce type de contenu, plutôt que d'attendre des signalements manuels. YouTube avait commencé à tester cette fonctionnalité auprès des créateurs de contenu à l'automne 2024, avant de l'étendre aux politiciens et journalistes en mars 2026. L'inclusion des célébrités marque une troisième phase d'un déploiement progressif qui suit la pression réglementaire croissante, notamment aux États-Unis et en Europe, autour des contenus synthétiques non consentis. La question de la gouvernance des deepfakes implique désormais directement les grandes plateformes, qui doivent concilier liberté d'expression, protection de l'image et obligations légales émergentes.

UELa pression réglementaire européenne sur les contenus synthétiques non consentis a contribué à accélérer ce déploiement, et l'outil pourrait à terme bénéficier aux personnalités publiques européennes face aux deepfakes non consentis.

ÉthiqueActu
1 source
Face aux tensions sur les contenus, le fondateur de Mistral AI propose une « taxe IA » pour soutenir les créateurs
4Siècle Digital 

Face aux tensions sur les contenus, le fondateur de Mistral AI propose une « taxe IA » pour soutenir les créateurs

Arthur Menesch, fondateur de Mistral AI, propose l'instauration d'une « taxe IA » — une contribution financière obligatoire pour les entreprises d'IA générative — afin de rémunérer les créateurs dont les contenus protégés par le droit d'auteur ont servi à entraîner les modèles. Cette proposition vise à désamorcer les tensions croissantes entre l'industrie de l'IA et les industries culturelles. Elle s'inscrit dans un débat plus large sur la régulation de l'utilisation des données d'entraînement.

UELa proposition d'une contribution obligatoire des entreprises d'IA générative pourrait directement alimenter les débats législatifs européens sur le droit d'auteur et les données d'entraînement, avec un impact concret pour les industries culturelles françaises et la directive sur le droit d'auteur de l'UE.

ÉthiqueReglementation
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour