Retour au blogSécurité

Claude for Chrome : une faille non corrigée expose Gmail et l'agenda

CZSyn
14 juillet 2026
6 min

Manifold alerte : deux failles non corrigées dans Claude for Chrome exposent Gmail, Google Docs et l'agenda, faute de correctif complet d'Anthropic.

Extension de navigateur Chrome affichant une alerte de sécurité au-dessus d'une boîte Gmail et d'un agenda
Ce qu'il faut retenir.
  1. La société Manifold a signalé deux failles dans Claude for Chrome à Anthropic le 21 mai 2026 ; elles restent exploitables dans la version 1.0.80, huit mises à jour plus tard.
  2. Une extension malveillante peut simuler un clic utilisateur pour déclencher des actions Claude à l'insu de la victime, jusqu'à lire Gmail, Google Docs et l'agenda.
  3. Le risque devient silencieux si l'utilisateur a activé le mode « Act without asking » : aucune confirmation ne s'affiche avant l'exécution de l'action.

Résumé généré par IA

Le 21 mai 2026, la société de sécurité Manifold a signalé à Anthropic deux vulnérabilités dans Claude for Chrome, l'extension agentique du navigateur développée par Anthropic. Selon Manifold, ces failles restent exploitables dans la dernière version disponible, la 1.0.80, alors que huit versions ont été publiées depuis le signalement initial du 21 mai. Aucune n'a corrigé le problème.

Le sujet dépasse largement l'anecdote technique. Ce que décrit Manifold, c'est la capacité, pour une simple extension tierce installée dans le même navigateur, de faire agir Claude à la place de l'utilisateur, sans clic réel ni approbation consciente. Concrètement : lire des e-mails Gmail, des documents Google Docs ou des entrées d'agenda, sans que la victime ne s'en rende compte.

Claude for Chrome, un agent qui agit dans votre navigateur

Pour ceux qui découvrent l'outil : Claude for Chrome est l'extension d'Anthropic qui transforme Claude en agent capable d'observer une page web et d'agir dessus, cliquer, remplir un formulaire, lire un contenu, à la demande de l'utilisateur. C'est la même logique que les agents de navigateur proposés par d'autres éditeurs d'IA : déléguer des tâches répétitives ou complexes directement dans l'interface web, sans copier-coller manuel.

Le problème découvert par Manifold n'est pas totalement nouveau. Il fait suite à une faille précédente, surnommée ClaudeBleed, révélée publiquement peu avant le signalement du 21 mai. En réponse à ClaudeBleed, Anthropic avait restreint la liste des invites qu'une page web externe pouvait injecter dans Claude, limitant l'extension à un ensemble fixe de tâches pré-approuvées. C'était une mitigation, pas un correctif complet.

Le mécanisme de la faille : un clic qui n'en est pas un

Manifold a découvert que le mécanisme chargé d'activer ces tâches pré-approuvées ne vérifie pas si le clic déclencheur provient réellement d'une interaction humaine. Résultat : une autre extension installée dans le même navigateur peut simuler cette interaction et démarrer le processus à la place de l'utilisateur.

Dans la configuration par défaut de l'extension, l'attaque déclenche tout de même une invite de confirmation avant toute action sensible. C'est un garde-fou réel : un utilisateur attentif peut voir la demande et la refuser. Mais ce garde-fou disparaît dans un cas précis, détaillé plus bas.

Le vrai point de bascule : le mode « Act without asking »

Claude for Chrome propose un mode plus autonome, où l'utilisateur autorise l'agent à agir sans confirmation systématique : le mode « Act without asking ». C'est précisément dans ce mode que la faille devient silencieuse. Si ce paramètre est activé, l'action déclenchée par une extension malveillante s'exécute sans aucun avertissement visible.

Manifold a également identifié un second point de conception à surveiller : le panneau latéral de Claude peut être lancé directement dans ce mode sans confirmation, via un paramètre présent dans sa propre URL. Les chercheurs précisent que ce mécanisme n'est pas exploitable aujourd'hui, car seule l'extension elle-même est censée construire cette URL. Ils y voient néanmoins un risque structurel : la moindre faille future permettant à un script externe d'influencer la construction de cette URL offrirait à un attaquant un contrôle silencieux sur les comptes connectés de la victime.

Ce que ça change pour les entreprises et les développeurs

Cette affaire illustre un problème que les DSI françaises commencent tout juste à traiter sérieusement : les agents IA installés comme extension de navigateur héritent de tous les accès de la session ouverte, Gmail professionnel, Drive, agenda partagé, outils SaaS internes. Une extension agentique n'est plus un simple gadget de productivité, c'est un point d'accès aux données de l'entreprise, au même titre qu'un compte utilisateur.

  • Désactivez le mode autonome par défaut. Tant que le correctif n'est pas confirmé, évitez d'activer « Act without asking » sur des postes ayant accès à la messagerie ou aux documents sensibles de l'entreprise.
  • Auditez les extensions Chrome installées. Le vecteur d'attaque décrit par Manifold repose sur la coexistence de plusieurs extensions dans le même navigateur. Une politique de liste blanche d'extensions, via Chrome Enterprise ou un MDM, réduit fortement la surface d'attaque.
  • Traitez les agents IA comme des identités à privilèges. Un agent qui peut lire Gmail ou l'agenda mérite le même niveau de vigilance qu'un compte de service : principe du moindre privilège, revue régulière des permissions, séparation des profils navigateur pro et perso.

Pour une PME sans équipe sécurité dédiée, le réflexe le plus simple reste souvent le bon : tant qu'une extension agentique n'a pas fait ses preuves sur la durée, limitez son usage aux tâches non sensibles, et ne la laissez jamais tourner en mode autonome sur un poste connecté aux outils métier.

Notre lecture chez CZSyn

Cette faille rappelle une règle que nous appliquons systématiquement chez nos clients : un agent IA dans le navigateur n'est pas un correcteur orthographique amélioré, c'est un logiciel qui agit avec vos droits d'accès. Le fait que la confirmation utilisateur puisse être simulée par une autre extension change complètement l'équation de confiance : ce n'est plus l'utilisateur qui décide, c'est n'importe quel code tiers installé dans le même navigateur.

Le point le plus révélateur de cette affaire, à nos yeux, n'est pas la faille elle-même mais le délai. Manifold a signalé le problème en mai, Anthropic a publié huit versions depuis, et le risque décrit reste identique. Cela ne remet pas en cause l'intérêt des agents IA de navigateur, mais cela confirme qu'ils doivent être déployés en entreprise avec les mêmes réflexes que n'importe quel logiciel à accès privilégié : test avant généralisation, permissions minimales, et veille active sur les correctifs de sécurité plutôt qu'une confiance par défaut dans le mode le plus pratique.

Vos outils IA sont-ils un angle mort de votre sécurité ?

Nous auditons les extensions, agents IA et accès tiers de votre parc informatique pour identifier les risques avant qu'ils ne soient exploités. Audit gratuit sous 24h.

06 64 81 45 03

ou programmez votre appel · devis gratuit en ligne

29 avis 5/5 · +200 projets livrés · réponse express

Sources primaires

Un projet en tête ?

Diagnostic gratuit, devis ferme, et un seul interlocuteur du premier appel à la mise en ligne.