Claude Code : une porte dérobée pour détecter les utilisateurs chinois sans consentement
En resumen
- L'assistant de programmation Claude Code d'Anthropic intégrait une fonction cachée pour identifier les utilisateurs chinois via des caractères Unicode dissimulés dans les réponses de l'outil.
- Cette 'porte dérobée', présentée par Anthropic comme un test anti-fraude, a suscité la colère de Pékin et le retrait d'Alibaba.
Resumen generado por IA
Por qué importa
L'assistant de programmation Claude Code d'Anthropic a été découvert intégrant une fonction cachée pour détecter les utilisateurs chinois. Cette fonctionnalité, non divulguée, utilisait des variations de caractères Unicode pour signaler l'origine de l'utilisateur à Anthropic.
L’affaire a de quoi faire tousser. Claude Code, l’assistant de programmation d’Anthropic, est utilisé chaque jour par des centaines de milliers de développeurs à travers le monde. Depuis avril, il embarquait une logique cachée capable de détecter les utilisateurs chinois et d’en transmettre le signal à distance. Sans consentement. Sans la moindre ligne d’information. Pékin a sorti l’artillerie réglementaire, Alibaba a claqué la porte et Anthropic se retrouve à justifier, tant bien que mal, qu’il ne s’agissait « que » d’un test anti-fraude qui a un peu trop bien fonctionné. Un peu trop, oui. Au point de ressembler à s’y méprendre à une porte dérobée…
Anthropic : Le mouchard qui ne dit pas son nom
Comme le racontait The Register dans son enquête du 1er juillet 2026, ce n’est pas Pékin qui a mis la main sur le problème en premier. C’est un développeur indépendant intrigué par un comportement bizarre de l’outil, qui a fini par remonter la piste. Le mécanisme incriminant dormait depuis la version 2.1.91 de Claude Code sortie début avril, et reposait sur deux vérifications discrètes à chaque utilisation : le fuseau horaire de l’utilisateur (l’outil cherchait « Asia/Shanghai » ou « Asia/Urumqi ») et l’adresse de son proxy ensuite comparée à une liste de 147 entités chinoises, dont Baidu, Alibaba, ByteDance ou Ant Group.
Et une fois l’utilisateur repéré, comment l’information remontait-elle jusqu’à Anthropic ? Pas d’e-mail envoyé en douce, rien d’aussi grossier naturellement. La technique, bien plus fourbe, s’appelle la stéganographie : elle consiste à cacher un message dans un support qui en apparence, n’a rien de suspect.
Ici, très concrètement : quand vous demandiez l’heure ou la date à Claude Code, la réponse contenait presque toujours une apostrophe. Sur un clavier, une apostrophe ressemble à une apostrophe, point. Mais il existe plusieurs caractères Unicode (la norme qui encode les caractères d’un texte) visuellement identiques à l’apostrophe classique, indiscernables pour un œil humain. Selon que vous étiez repéré comme chinois ou non, Claude Code choisissait discrètement l’une ou l’autre variante. Un signal invisible pour vous mais parfaitement lisible pour les serveurs d’Anthropic.
Et pour couronner le tout, la liste des 147 entités elle-même n’était pas stockée en clair dans le logiciel : elle était encodée en base64 puis brouillée par un chiffrement XOR, une double couche de camouflage qu’on associe d’ordinaire aux malwares, pas à un outil vendu à des développeurs.
Un « test anti-abus » qui aurait mal tourné
Face à la polémique, Anthropic n’a pas nié les faits. Thariq Shihipar, ingénieur sur l’équipe Claude Code, a reconnu qu’il s’agissait « d’une expérimentation lancée en mars, destinée à prévenir les abus de comptes par des revendeurs non autorisés et à protéger contre la distillation » (comprendre : la pratique qui consiste à interroger massivement un modèle d’IA pour en extraire les réponses et entraîner, à moindre coût, un concurrent dessus).
Ce n’est pas la première affaire de ce genre pour le géant de l’Intelligence Artificielle. Anthropic avait déjà accusé publiquement le laboratoire chinois Qwen d’Alibaba de mener, selon ses propres termes, la plus grande attaque de distillation jamais subie par l’entreprise : près de 28,8 millions d’échanges automatisés générés via environ 25 000 comptes frauduleux entre le 22 avril et le 5 juin 2026. Un épisode que nous racontions déjà dans notre enquête sur la guerre de l’IA entre la Chine et Anthropic.
Vu sous cet angle, la porte dérobée ressemble donc moins à de l’espionnage « gratuit » qu’à une contre-mesure prise en douce contre un adversaire. Ce qui n’excuse rien sur la méthode mais change toutefois un peu la lecture de l’affaire.
Bonne nouvelle tout de même : le correctif est déjà en circulation, déployé dès la version du 1er juillet 2026. Les utilisateurs coincés entre la 2.1.91 et la 2.1.196 ont tout intérêt à mettre à jour sans traîner.
Pékin ferme la porte, Alibaba suit le mouvement
En Chine, la réaction a été (comme d’habitude face a ce genre d’attaque) de bannir totalement les outils américains pour pousser des solutions locales. Anisi, le ministère chinois de l’Industrie et des Technologies de l’information a qualifié la faille de « menace sérieuse ». Alibaba, de son côté n’a pas non plus attendu longtemps pour trancher : interdiction d’utiliser Claude Code en interne dès le 10 juillet, direction Qoder, son propre assistant de codage maison. Du pain béni pour le géant chinois, ravi de transformer cet incident de sécurité en argument commercial pour ses propres outils.
Qué observar
Perspectiva de IA — posibilidades, no hechos
Des enquêtes réglementaires seront lancées contre Anthropic dans plusieurs juridictions.
Probable · En meses
D'autres entreprises technologiques chinoises vont promouvoir leurs assistants de codage locaux.
Muy probable · Corto plazo
Preguntas abiertas
- Quelle était l'étendue réelle de la transmission de données ?
- D'autres outils d'IA ont-ils des fonctions similaires ?
- Comment Anthropic compte-t-il regagner la confiance des développeurs ?






