Un document Word en police 1 point, blanc sur blanc. Invisible pour l’humain, parfaitement lisible pour l’IA. C’est tout ce qu’il a fallu à des chercheurs en cybersécurité pour voler des fichiers confidentiels via Claude Cowork, l’assistant d’Anthropic qui contrôle désormais votre Mac ou votre PC Windows.
Depuis le 3 avril 2026, les abonnés Pro et Max de Claude peuvent laisser l’intelligence artificielle prendre la main sur leur bureau. Ouvrir des applications, déplacer la souris, taper du texte, naviguer entre les fenêtres : Claude fait ce que vous feriez, en plus rapide. Mais cette promesse d’efficacité cache un problème que personne n’a résolu.
Votre IA préférée aux commandes de votre ordinateur
Le principe de Claude Cowork tient en une phrase : au lieu de vous répondre par du texte, l’IA agit directement sur votre écran. Besoin de remplir un tableur, trier des dossiers, envoyer un mail ? Claude s’en charge. Le système tente d’abord de passer par les intégrations existantes (Slack, calendrier, applications connectées). Quand aucune interface ne suffit, il prend le contrôle du bureau comme solution de repli.
Cette capacité repose en partie sur la technologie de Vercept AI, une startup rachetée par Anthropic et spécialisée dans le contrôle d’écran par intelligence artificielle. Sa cofondatrice, Kiana Ehsani, affirme que son équipe a livré son premier produit moins de quatre semaines après avoir rejoint l’entreprise. La fonctionnalité était disponible uniquement sur macOS en preview depuis mars. Elle s’ouvre désormais à Windows et aux utilisateurs Pro et Max, selon Anthropic.
OpenAI avait pris cette direction avec ChatGPT Agent quelques mois plus tôt, en se limitant au navigateur. Résultat : 75 % des utilisateurs ont disparu en quelques mois, selon The Information. Les gens ne savaient tout simplement pas quoi en faire. Anthropic prend un pari plus ambitieux en visant le bureau entier, ce qui multiplie les possibilités, mais aussi les risques.
Un fichier piégé, zéro alerte, vos données envolées
En janvier 2026, deux jours après le lancement de la version preview de Cowork, les chercheurs de PromptArmor ont publié une démonstration qui fait froid dans le dos. Leur méthode : glisser un fichier Word contenant des instructions cachées dans un dossier analysé par Claude. Le texte piégé utilise une police de 1 point, en blanc sur blanc, avec un interligne de 0,1. Aucun humain ne peut le voir.
Quand un utilisateur demande à Cowork de traiter les fichiers du dossier, l’injection prend le relais. Elle ordonne à Claude d’exécuter une commande qui envoie le fichier le plus volumineux du dossier vers un serveur distant, via la propre API d’Anthropic. Le fichier atterrit dans le compte de l’attaquant. Aucune autorisation humaine n’est requise à aucun moment.
Le chercheur en sécurité Johann Rehberger avait déjà signalé cette faille d’isolation dans l’environnement d’exécution de Claude avant même le lancement de Cowork, selon PromptArmor. Anthropic aurait accusé réception du signalement sans jamais corriger le problème. Les chercheurs ont testé l’attaque sur Claude Haiku, le modèle le moins puissant, puis sur Claude Opus 4.5, le plus performant. Les deux ont succombé.
Dix jours de développement, des mois de vulnérabilité
Un détail éclaire la situation : Anthropic avait annoncé que Cowork avait été développé en dix jours, entièrement écrit par Claude Code, son propre outil de génération de code. La rapidité avait impressionné la communauté tech. Mais elle pose une question que les chercheurs de PromptArmor formulent clairement : la sécurité a-t-elle reçu suffisamment d’attention pendant ce sprint ?
L’injection de prompt, la technique utilisée dans cette attaque, tourmente l’industrie de l’IA depuis des années. Personne n’a trouvé de parade fiable. Contrairement au phishing, que les utilisateurs peuvent apprendre à repérer (un lien suspect, une adresse mail bizarre), les injections de prompt sont indétectables par un humain ordinaire. Le texte malveillant est invisible. L’IA le lit, obéit et transmet vos données sans broncher.
Le problème s’aggrave avec chaque couche d’autonomie supplémentaire. Un chatbot classique ne peut que générer du texte. Un agent qui contrôle votre bureau peut ouvrir des fichiers, exécuter des commandes et communiquer avec des serveurs extérieurs. Plus l’IA est autonome, plus la surface d’attaque grandit.
La course au bureau intelligent, sans filet de sécurité
Anthropic n’est pas la seule à foncer dans cette direction. Microsoft a intégré les modèles d’Anthropic dans Copilot Cowork, son propre assistant de bureau. OpenAI développe ses agents pour contrôler les ordinateurs avec GPT-5.4. Google pousse Gemini vers des capacités similaires. Le contrôle du bureau par IA est devenu le terrain de compétition de 2026.
Mais la confiance du public ne suit pas. Selon un sondage Quinnipiac de début 2026, 76 % des Américains ne font pas confiance aux systèmes d’IA. Leur donner accès à l’intégralité d’un ordinateur personnel, fichiers inclus, sans garantie contre le vol de données, risque de creuser ce fossé.
Google DeepMind a publié une étude montrant que six types de pièges suffisent à détourner un agent IA de sa mission. Des attaques qui fonctionnent sur tous les modèles testés, de GPT à Claude en passant par Gemini. L’industrie avance vite, les protections piétinent.
Ce que ça change pour les utilisateurs
Pour l’instant, Claude Cowork reste réservé aux abonnés Pro (20 dollars par mois) et Max (100 dollars par mois). Les utilisateurs gratuits ne sont pas concernés. Anthropic présente toujours la fonctionnalité comme un « aperçu de recherche », ce qui lui permet de limiter sa responsabilité en cas de problème.
En pratique, cela signifie que des milliers de professionnels vont confier leur bureau entier à une IA qui, deux jours après sa première mise en ligne, s’est fait piéger par un document Word truqué. La promesse est séduisante : ne plus jamais toucher les tâches répétitives. Le risque est concret : un fichier au mauvais endroit, et vos données traversent le réseau sans que vous le sachiez.
Anthropic n’a pas détaillé les mesures de sécurité ajoutées entre la preview de janvier et le déploiement élargi d’avril. L’entreprise n’a pas non plus confirmé la correction de la faille documentée par PromptArmor. La prochaine étape pourrait être un déploiement grand public. Reste à savoir si les protections suivront le rythme.
