Sécurité Claude Desktop : quand l’assistant IA devient une porte dérobée potentielle

Data / IA

Cybersécurité IA : Claude Desktop peut être retourné contre son utilisateur

Par Laurent Delattre, publié le 06 juillet 2026

Dans un nouveau rapport, Pentera Labs démontre comment un simple accès à une messagerie peut se muer en prise de contrôle d’un poste de travail, en détournant les réglages d’un assistant IA. Au-delà du cas Claude, la démonstration rappelle aux RSSI qu’il faut absolument traiter ces outils agentiques comme des logiciels « privilégiés » et pose une question de gouvernance à laquelle aucun correctif ne répondra.

La cyber recherche, menée dès novembre 2025 par Dvir Avraham et Reef Spektor et publiée le 1er juillet 2026, ne débute pas avec Claude mais avec une plateforme tierce d’agrégation de messageries. En exploitant un flux d’authentification, les chercheurs ont réussi à accéder à des milliers de boîtes mail réelles en se posant une question qui a de quoi faire frémir tout DSI : parmi les services atteignables depuis une messagerie, lesquels permettent de passer d’un accès « compte » à un accès « machine » ?

C’est là que Claude Desktop a retenu leur attention. Contrairement à un agent conversationnel sans état, l’application de bureau peut interagir avec des outils locaux et déclencher des actions. Les chercheurs ont ainsi réussi à accèder d’abord au compte Claude d’une « victime cible » via sa messagerie (lien magique ou réinitialisation de mot de passe), puis à injecter une charge utile encodée en base64 (pour déjouer un audit visuel) dans les préférences personnelles du compte, ce champ où l’utilisateur décrit à l’assistant le comportement attendu. Petit détail croustillant (car viral), ces préférences se synchronisent sur tous les appareils et sessions rattachés au compte.

Et après ? À la réouverture de Claude Desktop, les instructions empoisonnées sont automatiquement chargées et demandent à l’assistant d’inventorier discrètement les extensions installées.
Si l’une d’elles sait exécuter des commandes (tel le connecteur MCP Desktop Commander), le Claude compromis l’utilise pour lancer la commande de l’attaquant.
Sinon, l’assistant se mue en couche d’hameçonnage et affiche un faux message d’erreur réaliste invitant à installer l’extension manquante : le conseil semblant émaner d’un outil de confiance (Claude Desktop), l’utilisateur a toute les chances de s’exécuter, entraînant le déclenchement de la charge à l’interaction suivante.
Dans la démonstration, Claude interroge à chaque échange un serveur contrôlé par les chercheurs et exécute les commandes reçues en retour, devenant ainsi un canal de commande et de contrôle furtif.

Ce que DSI et RSSI doivent en retenir

La chaîne d’attaque ne mobilise ni logiciel malveillant ni courriel piégé : elle contourne simplement les défenses de messagerie dans lesquelles l’organisation a investi. Surtout, sa portée dépend du poste touché. Sur une machine de développeur, de DevOps ou de SRE, l’agent atteint les clés SSH, les identifiants cloud de « ~/.aws" ou « ~/.config/gcloud« , les fichiers kubeconfig et les jetons d’intégration continue, un vecteur de pivot direct pour étendre la cyberattaque vers le cloud et la production de l’entreprise.

Deux propriétés aggravent le risque. La synchronisation multi-appareils propage silencieusement les préférences empoisonnées vers tous les terminaux, faisant des réglages un canal de persistance rarement surveillé. Et le canal de confiance se retourne : on forme les collaborateurs à se méfier des courriels, jamais de leur propre assistant, ici instrument de l’ingénierie sociale.

La tendance dépasse le cas isolé. Pentera précise que son scénario est antérieur à Cowork, dont les capacités agentiques suppriment la phase d’inventaire et d’hameçonnage : le risque croît avec l’autonomie confiée aux agents.

En février, LayerX documentait déjà une exécution de code à distance sans clic dans les extensions de Claude Desktop, déclenchée par un simple événement d’agenda.

Un désaccord de fond, pas une faille à corriger

« It is a behavior by design, not a bug« … La célèbre doctrine des années 90 refait surface alors qu’Anthropic et Pentera affichent ouvertement leur désaccord sur la façon d’aborder le problème.
Anthropic reconnait les constats des chercheurs mais refuse de les qualifier de vulnérabilité : son modèle de menace considère que les préférences personnelles, les skills et les connecteurs MCP sont des fonctionnalités conçues pour exécuter du code via Claude Desktop, soit un fonctionnement attendu et non une faille d’infrastructure. L’éditeur indique néanmoins que des améliorations alignées sur les recommandations de Pentera figurent déjà à sa feuille de route.

Pour un RSSI, la nuance n’est pas rhétorique : lorsque la surface d’attaque relève d’un choix de conception assumé, aucun correctif ne viendra la refermer immédiatement, et la défense repose entièrement sur la posture de l’organisation. Anthropic rappelle quand même que l’attaque suppose une compromission préalable du compte, donc une technique de post-intrusion et de mouvement latéral. La vraie faille et vulnérabilité se situe donc en amont.

L’affaire rappelle toutefois l’important ce traiter désormais les applications IA de bureau – toutes devenues plus ou moins agentiques – comme des logiciels à risque, des outils privilégiés au même titre que les outils d’administration.
Parmi les protections proactives et préventives à mettre en place, on retrouve la nécessité : 
– de restreindre par liste d’autorisation les extensions et connecteurs installables à leurs côtés;
– de surveiller les modifications de configuration, les réglages synchronisés et les processus enfants inhabituels que ces applications engendrent;
– de modéliser explicitement le chemin combiné « compte compromis + réglages synchronisés + accès aux outils locaux »;
– et d’éduquer les utilisateurs pour qu’ils prennent conscience que l’assistant lui-même peut devenir un canal d’ingénierie sociale.

Dit autrement, à l’ère des agents IA, l’assistant IA sur le poste de travail n’est plus seulement un terminal d’interaction avec l’IA : c’est une nouvelle surface d’attaque à sécuriser.

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights