claude --version ; si vous êtes dans la plage concernée et utilisez un ANTHROPIC_BASE_URL non officiel, passez à 2.1.197+ ou désinstallez. Analyse complète, interdiction Alibaba effective le 10 juillet, et checklist de remédiation. Approfondissement technique : analyse stéganographie Claude Code.Synthèse et définition de Claude Code
Qu'est-ce que Claude Code ? Il s'agit de l'agent de codage IA en ligne de commande d'Anthropic — distinct du chat web Claude. Il dispose d'un accès au système de fichiers, à l'exécution shell et au routage API configurable via ANTHROPIC_BASE_URL, ce qui en fait un outil à privilèges élevés pour les équipes de développement.
En bref : ① MIIT NVDB (8/07) — risque de porte dérobée grave ; ② versions 2.1.91–2.1.196 (2 avr.–29 juin 2026) ; ③ déclenchement uniquement via ANTHROPIC_BASE_URL non officiel ; ④ Anthropic a reconnu et retiré le code le 1/07 ; ⑤ correctif v2.1.197 ; ⑥ interdiction Alibaba à partir du 10/07.
| Élément | Détail |
|---|---|
| Nature du risque | Surveillance intégrée non divulguée / empreinte stéganographique |
| Données potentiellement signalées | Marqueurs régionaux, empreinte d'endpoint proxy |
| Versions concernées | v2.1.91 – v2.1.196 |
| Fenêtre de diffusion | 2 avril – 29 juin 2026 (~20 releases sans mention au changelog) |
| Recommandation réglementaire | Désinstallation ou mise à jour ; audit du trafic sortant |
| Réaction entreprise | Alibaba et d'autres acteurs restreignent ou interdisent Claude Code |
L'arc narratif est désormais documenté : empreinte géographique dissimulée par Anthropic → reverse engineering communautaire → reconnaissance et retrait → interdiction Alibaba → alerte réglementaire chinoise qualifiant le comportement de porte dérobée.
Chronologie des événements
La séquence ci-dessous repose sur les divulgations publiques, les rapports de reverse engineering indépendants et les communiqués réglementaires.
Février 2026 : Anthropic annonce des investissements dans la défense anti-distillation (classificateurs, empreintes comportementales).
Mars 2026 : déploiement interne d'une routine de détection dissimulée — sans communication publique.
2026-04-02 : publication de v2.1.91 incluant la logique cachée.
2026-06-29 : v2.1.196 — dernière version affectée.
2026-06-30 : exposition Reddit (LegitMichel777) ; analyse Thereallo ; rapport Adnane Khan confirmant v2.1.193/195/196.
2026-07-01 : Thariq Shihipar reconnaît sur X une « expérience » de mars contre revente et distillation ; rollback promis.
2026-07-02 : v2.1.197 retire le code stéganographique.
2026-07-08 : bulletin formel MIIT NVDB — risque de porte dérobée, préjudice grave.
2026-07-10 : interdiction interne Alibaba en vigueur.
Il serait inexact d'affirmer que tous les utilisateurs de Claude Code étaient surveillés. Le mécanisme exigeait un ANTHROPIC_BASE_URL personnalisé — un canal d'empreinte dissimulé, mais à portée plus restreinte qu'annoncé par certains titres sensationnalistes.
Mécanisme de l'empreinte stéganographique
Les chercheurs qualifient ce comportement de stéganographie plutôt que de télémétrie classique : aucun endpoint analytics dédié — le client modifie le prompt système envoyé au modèle.
Étape 1 — Reconnaissance : vérification des fuseaux Asia/Shanghai et Asia/Urumqi ; comparaison du hostname ANTHROPIC_BASE_URL à une liste interne de 147 entrées (géants tech chinois, labs IA, revendeurs API), obfusquées en XOR(clé 91) + Base64.
Étape 2 — Encodage : le format de date passe de 2026-06-30 à 2026/06/30 ; l'apostrophe de la ligne Today's date is alterne entre variantes Unicode quasi identiques, encodant trois indicateurs booléens.
Étape 3 — Canal dissimulé : environ 3 bits d'information environnementale transitent dans une phrase anglaise apparemment anodyne — ce qu'Adnane Khan a qualifié de canal d'information dissimulé dans les prompts système.
| Jalon | Version | Date |
|---|---|---|
| Première version affectée | v2.1.91 | 2026-04-02 |
| Dernière version affectée | v2.1.196 | 2026-06-29 |
| Version corrective | v2.1.197 | 2026-07-01/02 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
Donnée clé : la logique identique a été confirmée sur v2.1.193, v2.1.195 et v2.1.196 — près de 3 mois de déploiement silencieux sur environ 20 releases semver.
Populations concernées, réponse d'Anthropic et interdiction Alibaba
Seuls les développeurs routant Claude Code via un endpoint API non officiel activaient ce mécanisme. Les utilisateurs de api.anthropic.com en direct n'étaient pas concernés par cette voie.
| Scénario | Empreinte activée ? | Risque principal |
|---|---|---|
| api.anthropic.com officiel | Non | Télémétrie standard (politique de confidentialité) |
| ANTHROPIC_BASE_URL → passerelle tierce | Oui | Stéganographie dissimulée + risque de bannissement |
| Fuseau Chine + proxy | Oui (signaux cumulés) | Empreinte géo et domaine concurrent |
| Environnement entreprise réglementé | Selon configuration | Signal sortant non divulgué sur agent privilégié |
Anthropic / Thariq Shihipar (1 juillet, X) : « This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release. » Anthropic qualifie l'initiative d'ingénierie anti-abus — non de porte dérobée malveillante — tout en reconnaissant l'absence totale de transparence au changelog.
Interdiction Alibaba (effective le 10 juillet 2026) : selon SCMP, Ars Technica et Reuters, Alibaba a classé Claude Code comme logiciel à haut risque, interdisant l'outil ainsi que les modèles Anthropic associés (Sonnet, Opus, Fable), avec migration vers la plateforme interne Qoder. Contexte : Anthropic avait signalé au Sénat américain que l'équipe Qwen d'Alibaba aurait utilisé environ 25 000 comptes frauduleux générant 28,8 millions d'interactions pour distiller les capacités de Claude.
| Source | Terminologie | Angle |
|---|---|---|
| MIIT / NVDB | Risque de porte dérobée, préjudice grave | Conformité, transmission non consentie |
| Reuters / CNBC | Mécanisme de surveillance intégré | Alerte réglementaire, réactions corporate |
| The Register | Code dissimulé / stéganographie secrète | Mises à jour non divulguées |
| Ars Technica | Tracking de type spyware | Crise de confiance |
| Anthropic | Expérience / anti-distillation | Objectif défensif, divulgation défaillante |
Plan d'action pour les développeurs et les équipes IT
Checklist développeur individuel :
Vérifier la version : exécuter claude --version ; signaler toute version entre 2.1.91 et 2.1.196.
Inspecter le proxy : echo $ANTHROPIC_BASE_URL — documenter toute passerelle non officielle.
Mettre à jour : npm install -g @anthropic-ai/claude-code@latest ou claude update ; confirmer ≥ 2.1.197.
Désinstallation complète (optionnel) : supprimer ~/.claude, ~/.claude.json, caches et configs sur macOS/Linux.
Évaluer les alternatives : consulter notre comparatif des assistants de code IA.
Auditer le trafic sortant : vérifier l'absence d'appels persistants vers des endpoints IA non autorisés depuis postes et CI.
IT entreprise : inventorier chaque poste et nœud CI avec Claude Code ; imposer mise à jour ou retrait conformément aux recommandations NVDB.
147 entrées de blocklist confirmées en v2.1.193–196 (Thereallo, Adnane Khan).
28,8 M d'interactions — accusation de distillation d'Anthropic contre Qwen.
Interdiction Alibaba 10/07 — mettre à jour les listes blanches logicielles dès maintenant.
Avertissement : analyse basée sur les bulletins MIIT NVDB et la presse spécialisée ; ne constitue pas un avis juridique ni un audit de sécurité. Ressources : Centre d'aide.
Maintenir une version affectée de Claude Code sur un Mac personnel rend l'audit des empreintes dissimulées difficile ; s'appuyer durablement sur des revendeurs Claude tiers expose à un fingerprinting d'endpoint ; exécuter des agents macOS dans des VM non licenciées viole l'EULA Apple. Pour la CI/CD iOS, l'accès root complet et des agents IA 24/7 en production, la location cloud Mac Mini M4 dédiée KVMNODE offre du matériel bare-metal isolé, sudo ouvert et facturation flexible — avec trafic sortant maîtrisable. Consultez nos tarifs ou commandez.