Plus de 10 000 utilisateurs de Claude Desktop exposés à une faille zéro clic

Published by All Things Windows on

TL;DR

Vulnérabilité critique : une vulnérabilité sans clic dans Claude Desktop Extensions expose plus de 10 000 utilisateurs à l’exécution de code à distance via des invitations de calendrier malveillantes. Méthode d’attaque : la faille CVSS 10/10 permet aux attaquants de compromettre les systèmes sans interaction de l’utilisateur en masquant les commandes dans les événements de Google Calendar. Réponse du fournisseur : Anthropic a refusé de corriger la vulnérabilité, affirmant qu’elle ne correspondait pas à son modèle de menace actuel pour les outils de développement local. Cause première : les extensions de bureau Claude s’exécutent avec tous les privilèges du système sans sandboxing, contrairement aux extensions de navigateur avec des autorisations restreintes.

Une vulnérabilité sans clic révélée cette semaine dans Claude Desktop Extensions permet aux attaquants de compromettre les systèmes via des invitations malveillantes de Google Calendar. La faille expose plus de 10 000 utilisateurs à l’exécution de code à distance.

La société de sécurité LayerX Security a découvert la faille, qui permet à un seul événement de calendrier contenant des instructions malveillantes cachées de déclencher la prise de contrôle du système sans aucune interaction de l’utilisateur.

Une faille de gravité maximale affecte plus de 10 000 utilisateurs

La vulnérabilité a obtenu une note CVSS 10/10, le score de gravité maximum. La faille affecte plus de 10 000 utilisateurs actifs sur plus de 50 extensions Claude Desktop distribuées via le marché des extensions d’Anthropic.

L’exploit ne nécessite aucun clic de l’utilisateur et peut être déclenché par des invites innocentes telles que « Vérifiez mon calendrier et gérez-le. » La combinaison d’un score de gravité maximal et d’une activation sans clic positionne cette vulnérabilité parmi les vulnérabilités les plus risquées dans les applications de bureau d’IA. La militarisation des interactions de calendrier transforme les flux de travail de routine en vecteurs d’attaque silencieux.

Comment fonctionne l’attaque

Comprendre la gravité nécessite d’examiner le mécanisme d’exploitation lui-même. La vulnérabilité est enracinée dans le Model Context Protocol (MCP) d’Anthropic, qui permet à Claude de sélectionner et d’enchaîner de manière autonome plusieurs outils pour répondre aux demandes des utilisateurs.

Un attaquant envoie une fausse invitation à Google Calendar avec des instructions malveillantes cachées dans la description de l’événement. Lorsqu’un utilisateur demande à Claude de vérifier son calendrier, l’IA lit l’événement empoisonné et exécute les commandes intégrées avec un accès complet au système.

Les chercheurs de LayerX ont expliqué le mécanisme d’attaque :

“Si elle est exploitée par un mauvais acteur, même une invite inoffensive (“prenez-en soin”), associée à un événement de calendrier formulé de manière malveillante, suffit à déclencher l’exécution de code local arbitraire qui compromet l’ensemble du système.”

Chercheurs de LayerX, chercheurs en sécurité (via LayerX Security)

Les chercheurs ont qualifié cette méthode d’attaque d’« As des As » car elle exploite la prise de décision autonome de l’IA pour exécuter des commandes malveillantes sans nécessiter d’invites complexes de l’utilisateur.

L’architecture sans bac à sable crée des risques

Cette attaque exploite un choix de conception fondamental dans Claude Desktop Extensions. Contrairement aux extensions de navigateur qui s’exécutent dans des bacs à sable, les extensions de bureau Claude s’exécutent avec tous les privilèges système.

Les extensions peuvent lire des fichiers, voler des informations d’identification et exécuter des commandes sans limitations. L’autonomie de MCP crée une défaillance clé des limites de confiance, permettant aux données provenant de connecteurs à faible risque tels que Google Calendar de circuler directement vers des exécuteurs locaux à privilèges élevés sans protection.

Les extensions s’exécutent avec tous les privilèges système, accordant l’accès aux fichiers, aux informations d’identification, aux paramètres système et à l’exécution de code arbitraire. Cette conception architecturale contraste fortement avec les extensions de navigateur modernes qui fonctionnent dans des bacs à sable isolés avec des autorisations restreintes.

Anthropic refuse de corriger

Malgré sa gravité, la réponse d’Anthropic a surpris les chercheurs en sécurité. LayerX a signalé la vulnérabilité à Anthropic, mais la société a décidé de ne pas la corriger, affirmant qu’elle”ne correspond pas à notre modèle de menace actuel”.

Dans une déclaration, Anthropic a expliqué sa justification :

“L’intégration MCP de Claude Desktop est conçue comme un outil de développement local qui fonctionne dans le propre environnement de l’utilisateur. Les utilisateurs configurent et accordent explicitement des autorisations aux serveurs MCP qu’ils choisissent d’exécuter localement, et ces serveurs ont accès aux ressources basées sur le autorisations de l’utilisateur”

Anthropic, porte-parole de la société (via Infosecurity)

La société a déclaré que les utilisateurs devraient faites preuve de la même prudence lors de l’installation de serveurs MCP que lors de l’installation de logiciels tiers.

Implications en matière de sécurité

La décision du fournisseur soulève des questions plus larges sur la responsabilité à l’ère de l’IA. Roy Paz, chercheur principal en IA chez LayerX Security, a déclaré à eSecurityPlanet que ces exploits démontrent l’impasse des outils de productivité de l’IA : pour débloquer les avantages de l’IA, il faut donner à ces outils un accès approfondi aux données sensibles.

La controverse met en lumière des questions plus larges sur la responsabilité de l’IA en matière de sécurité. Alors qu’Anthropic présente le problème comme un problème de responsabilité des utilisateurs comparable à l’installation de logiciels tiers, les chercheurs en sécurité soutiennent que la conception architecturale elle-même crée un risque inacceptable.

Le débat se concentre sur la question de savoir si les applications de bureau d’IA doivent être traitées comme des outils de développement où les utilisateurs acceptent des risques, ou comme des logiciels grand public où les fournisseurs assument la responsabilité de sécurité. Bien que la vulnérabilité ait été révélée, les chercheurs ont souligné que le score CVSS maximum reflète la gravité potentielle si les attaquants utilisaient cette technique comme une arme.

Pour les équipes de sécurité d’entreprise, l’intégration du calendrier crée à elle seule une voie persistante d’exécution de code à distance dans les outils commercialisés pour la productivité générale.

Categories: IT Info

Related Posts

IT Info

Le PDG d’Anthropic qualifie la messagerie OpenAI Pentagon de « mensonges »

Le PDG d'Anthropic, Dario Amodei, a accusé OpenAI de « mensonges purs et simples » et de « théâtre de sécurité » concernant son accord avec le Pentagone AI dans une note interne du personnel. Le PDG d'Anthropic appelle OpenAI Pentag

IT Info

Les géants de la technologie s’engagent à alimenter leurs propres centres de données IA

Google, Microsoft, Amazon, Meta, xAI, Oracle et OpenAI ont signé un engagement à la Maison Blanche s'engageant à produire leur propre électricité pour les nouveaux centres de données d'IA. Le post Tech Giants Ple

IT Info

Le MacBook Neo à 599 $ d’Apple menace les OEM Windows et les Chromebooks

Apple a lancé le MacBook Neo à 599 $, doté de la puce A18 Pro et de quatre options de couleurs, défiant directement les constructeurs OEM Windows et les fabricants de Chromebooks. Le post MacB à 599 $ d'Apple