{"id":2627,"date":"2026-03-27T08:29:37","date_gmt":"2026-03-27T07:29:37","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/shadowprompt-nimporte-quel-site-pouvait-abuser-votre-extension-claude\/"},"modified":"2026-03-27T08:29:37","modified_gmt":"2026-03-27T07:29:37","slug":"shadowprompt-nimporte-quel-site-pouvait-abuser-votre-extension-claude","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/shadowprompt-nimporte-quel-site-pouvait-abuser-votre-extension-claude\/","title":{"rendered":"ShadowPrompt – N’importe quel site pouvait abuser votre extension Claude"},"content":{"rendered":"

Une faille d\u00e9couverte dans l’extension Chrome de Claude<\/strong> permettait \u00e0 n’importe quel site web d’injecter silencieusement des prompts dans votre assistant IA. Pas besoin de cliquer, pas besoin de permission… non, fallait juste visiter une page web et c’\u00e9tait r\u00e9gl\u00e9. Le chercheur Oren Yomtov de
\nKoi Security<\/a>
\n\u00e0 l\u2019origine de cette d\u00e9couverte, a baptis\u00e9 \u00e7a “ShadowPrompt<\/strong>” et vous allez voir, c’est dingue.<\/p>\n

En fait, cette attaque encha\u00eenait deux failles. La premi\u00e8re, c’est que l’extension acceptait les messages de n’importe quel sous-domaine en *.claude.ai<\/strong>, car Anthropic avait mis en place un allowlist trop permissif. Sauf qu’Arkose Labs, le fournisseur de CAPTCHA, h\u00e9bergeait un composant sur a-cdn.claude.ai et malheureusement, ce composant contenait une jolie faille XSS bien classique. Celui-ci acceptait les postMessage sans v\u00e9rifier l’origine, et le texte re\u00e7u \u00e9tait ainsi injectable via un
\ndangerouslySetInnerHTML<\/a>
\n. Donc y’a bien ZERO validation c\u00f4t\u00e9 client. Ou\u00e9\u00e9\u00e9\u00e9\u00e9 !<\/p>\n

Un attaquant n’avait qu’\u00e0 embarquer ce composant CAPTCHA vuln\u00e9rable dans une iframe cach\u00e9e sur son site, envoyer un payload via postMessage, et hop, le script inject\u00e9 pouvait balancer un prompt directement \u00e0 l’extension. Elle le recevait depuis un domaine *.claude.ai, donc elle l’acceptait les yeux ferm\u00e9s et l’affichait alors dans la sidebar comme une requ\u00eate l\u00e9gitime de l’utilisateur. La victime ne voyait strictement rien.<\/p>\n

Et les d\u00e9g\u00e2ts potentiels ne sont clairement pas anecdotiques ! Avec cette technique, un attaquant pouvait voler vos tokens d’acc\u00e8s Gmail, exfiltrer des documents Google Drive, lire tout l’historique de vos conversations avec Claude, et m\u00eame envoyer des mails en votre nom. Perso, \u00e7a fait beaucoup pour un simple onglet ouvert dans Chrome, quoi.<\/p>\n

\n
\n
Le chercheur a trouv\u00e9 le vecteur en brutefor\u00e7ant les anciennes versions du composant Arkose Labs, en remontant depuis la version 1.26.0 jusqu’\u00e0 trouver une mouture encore vuln\u00e9rable. Simple, basique comme dirait Orel \ud83d\ude42<\/p>\n
Si vous suivez les failles des assistants IA, c’est pas la premi\u00e8re fois qu’on voit ce genre de sc\u00e9nario.
\n Claude Cowork s’\u00e9tait d\u00e9j\u00e0 fait \u00e9pingler<\/a>
\npour de l’exfiltration de fichiers via des documents pi\u00e9g\u00e9s, et
\n le navigateur Perplexity Comet<\/a>
\navait le m\u00eame probl\u00e8me avec des invitations de calendrier. Le probl\u00e8me de fond, c’est que ces extensions veulent tout faire \u00e0 votre place, mais elles ne sont pas forc\u00e9ment capables de distinguer une requ\u00eate l\u00e9gitime d’une attaque.<\/p>\n
Par contre, attention, le fix ne prot\u00e8ge que les utilisateurs qui ont mis \u00e0 jour l’extension, donc n’oubliez pas de v\u00e9rifier votre version. Koi Security a signal\u00e9 la faille \u00e0 Anthropic le 26 d\u00e9cembre 2025 (joyeux No\u00ebl !) et ces derniers ont confirm\u00e9 le lendemain et d\u00e9ploy\u00e9 le correctif le 15 janvier, dans la version 1.0.41 de l’extension Chrome.<\/p>\n
Maintenant au lieu d’accepter *.claude.ai, l’extension exige maintenant une correspondance exacte avec
\n https:\/\/claude.ai<\/a>
\n. Arkose Labs a de son c\u00f4t\u00e9 aussi corrig\u00e9 la faille XSS en f\u00e9vrier, en renvoyant un 403 sur l’URL vuln\u00e9rable. \u00c0 vrai dire, la r\u00e9activit\u00e9 d’Anthropic a \u00e9t\u00e9 plut\u00f4t correcte sur ce coup.<\/p>\n
Bref, allez v\u00e9rifier que vous \u00eates au moins en v1.0.41 (chrome:\/\/extensions pour checker). Et n’oubliez pas, plus une extension IA a de pouvoirs, plus elle est int\u00e9ressante \u00e0 hacker…<\/p>\n
\n Source<\/a>\n<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Une faille d\u00e9couverte dans l’extension Chrome de Claude permettait \u00e0 n’importe quel site web d’injecter silencieusement des prompts dans votre assistant IA. Pas besoin de cliquer, pas besoin de permission… non, fallait juste visiter une page web et c’\u00e9tait r\u00e9gl\u00e9. Le chercheur Oren Yomtov de Koi Security \u00e0 l\u2019origine de cette d\u00e9couverte, a baptis\u00e9 \u00e7a “ShadowPrompt” et vous allez voir, c’est dingue. En fait, cette attaque encha\u00eenait deux failles. La premi\u00e8re, c’est que l’extension acceptait les messages de n’importe quel sous-domaine en *.claude.ai, car Anthropic avait mis en place un allowlist trop permissif. Sauf qu’Arkose Labs, le fournisseur de CAPTCHA, h\u00e9bergeait un composant sur a-cdn.claude.ai et malheureusement, ce composant contenait une jolie faille XSS bien classique. Celui-ci acceptait les postMessage sans v\u00e9rifier l’origine, et le texte re\u00e7u \u00e9tait ainsi injectable via un dangerouslySetInnerHTML . Donc y’a bien ZERO validation c\u00f4t\u00e9 client. Ou\u00e9\u00e9\u00e9\u00e9\u00e9 ! Un attaquant n’avait qu’\u00e0 embarquer ce composant CAPTCHA vuln\u00e9rable dans une iframe cach\u00e9e sur son site, envoyer un payload via postMessage, et hop, le script inject\u00e9 pouvait balancer un prompt directement \u00e0 l’extension. Elle le recevait depuis un domaine *.claude.ai, donc elle l’acceptait les yeux ferm\u00e9s et l’affichait alors dans la sidebar comme une requ\u00eate l\u00e9gitime de l’utilisateur. La victime ne voyait strictement rien. Et les d\u00e9g\u00e2ts potentiels ne sont clairement pas anecdotiques ! Avec cette technique, un attaquant pouvait voler vos tokens d’acc\u00e8s Gmail, exfiltrer des documents Google Drive, lire tout l’historique de vos conversations avec Claude, et m\u00eame envoyer des mails en votre nom. Perso, \u00e7a fait beaucoup pour un simple onglet ouvert dans Chrome, quoi. Le chercheur a trouv\u00e9 le vecteur en brutefor\u00e7ant les anciennes versions du composant Arkose Labs, en remontant depuis la version 1.26.0 jusqu’\u00e0 trouver une mouture encore vuln\u00e9rable. Simple, basique comme dirait Orel \ud83d\ude42 Si vous suivez les failles des assistants IA, c’est pas la premi\u00e8re fois qu’on voit ce genre de sc\u00e9nario. Claude Cowork s’\u00e9tait d\u00e9j\u00e0 fait \u00e9pingler pour de l’exfiltration de fichiers via des documents pi\u00e9g\u00e9s, et le navigateur Perplexity Comet avait le m\u00eame probl\u00e8me avec des invitations de calendrier. Le probl\u00e8me de fond, c’est que ces extensions veulent tout faire \u00e0 votre place, mais elles ne sont pas forc\u00e9ment capables de distinguer une requ\u00eate l\u00e9gitime d’une attaque. Par contre, attention, le fix ne prot\u00e8ge que les utilisateurs qui ont mis \u00e0 jour l’extension, donc n’oubliez pas de v\u00e9rifier votre version. Koi Security a signal\u00e9 la faille \u00e0 Anthropic le 26 d\u00e9cembre 2025 (joyeux No\u00ebl !) et ces derniers ont confirm\u00e9 le lendemain et d\u00e9ploy\u00e9 le correctif le 15 janvier, dans la version 1.0.41 de l’extension Chrome. Maintenant au lieu d’accepter *.claude.ai, l’extension exige maintenant une correspondance exacte avec https:\/\/claude.ai . Arkose Labs a de son c\u00f4t\u00e9 aussi corrig\u00e9 la faille XSS en f\u00e9vrier, en renvoyant un 403 sur l’URL vuln\u00e9rable. \u00c0 vrai dire, la r\u00e9activit\u00e9 d’Anthropic a \u00e9t\u00e9 plut\u00f4t correcte sur ce coup. Bref, allez v\u00e9rifier que vous \u00eates au moins en v1.0.41 (chrome:\/\/extensions pour checker). Et n’oubliez pas, plus une extension IA a de pouvoirs, plus elle est int\u00e9ressante \u00e0 hacker… Source<\/p>\n","protected":false},"author":1,"featured_media":2628,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2627","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2627","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2627"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2627\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2628"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}