Le 8 juillet 2026, la plateforme chinoise de partage des menaces cybersécurité du MIIT (NVDB) a publié une alerte officielle : l'outil de codage IA Claude Code d'Anthropic, dans les versions v2.1.91 à v2.1.196, présente un risque de porte dérobée aux conséquences graves. Un mécanisme de surveillance intégré pourrait transmettre, sans consentement explicite, des marqueurs géographiques et d'identité via une empreinte stéganographique dissimulée dans les prompts système. Action immédiate : exécutez claude --version ; si vous êtes dans la plage concernée et utilisez un ANTHROPIC_BASE_URL non officiel, passez à 2.1.197+ ou désinstallez. Analyse complète, interdiction Alibaba effective le 10 juillet, et checklist de remédiation. Approfondissement technique : analyse stéganographie Claude Code.
01

Synthèse et définition de Claude Code

Qu'est-ce que Claude Code ? Il s'agit de l'agent de codage IA en ligne de commande d'Anthropic — distinct du chat web Claude. Il dispose d'un accès au système de fichiers, à l'exécution shell et au routage API configurable via ANTHROPIC_BASE_URL, ce qui en fait un outil à privilèges élevés pour les équipes de développement.

En bref : ① MIIT NVDB (8/07) — risque de porte dérobée grave ; ② versions 2.1.91–2.1.196 (2 avr.–29 juin 2026) ; ③ déclenchement uniquement via ANTHROPIC_BASE_URL non officiel ; ④ Anthropic a reconnu et retiré le code le 1/07 ; ⑤ correctif v2.1.197 ; ⑥ interdiction Alibaba à partir du 10/07.

ÉlémentDétail
Nature du risqueSurveillance intégrée non divulguée / empreinte stéganographique
Données potentiellement signaléesMarqueurs régionaux, empreinte d'endpoint proxy
Versions concernéesv2.1.91 – v2.1.196
Fenêtre de diffusion2 avril – 29 juin 2026 (~20 releases sans mention au changelog)
Recommandation réglementaireDésinstallation ou mise à jour ; audit du trafic sortant
Réaction entrepriseAlibaba et d'autres acteurs restreignent ou interdisent Claude Code

L'arc narratif est désormais documenté : empreinte géographique dissimulée par Anthropic → reverse engineering communautaire → reconnaissance et retrait → interdiction Alibaba → alerte réglementaire chinoise qualifiant le comportement de porte dérobée.

02

Chronologie des événements

La séquence ci-dessous repose sur les divulgations publiques, les rapports de reverse engineering indépendants et les communiqués réglementaires.

01

Février 2026 : Anthropic annonce des investissements dans la défense anti-distillation (classificateurs, empreintes comportementales).

02

Mars 2026 : déploiement interne d'une routine de détection dissimulée — sans communication publique.

03

2026-04-02 : publication de v2.1.91 incluant la logique cachée.

04

2026-06-29 : v2.1.196 — dernière version affectée.

05

2026-06-30 : exposition Reddit (LegitMichel777) ; analyse Thereallo ; rapport Adnane Khan confirmant v2.1.193/195/196.

06

2026-07-01 : Thariq Shihipar reconnaît sur X une « expérience » de mars contre revente et distillation ; rollback promis.

07

2026-07-02 : v2.1.197 retire le code stéganographique.

08

2026-07-08 : bulletin formel MIIT NVDB — risque de porte dérobée, préjudice grave.

09

2026-07-10 : interdiction interne Alibaba en vigueur.

Il serait inexact d'affirmer que tous les utilisateurs de Claude Code étaient surveillés. Le mécanisme exigeait un ANTHROPIC_BASE_URL personnalisé — un canal d'empreinte dissimulé, mais à portée plus restreinte qu'annoncé par certains titres sensationnalistes.

03

Mécanisme de l'empreinte stéganographique

Les chercheurs qualifient ce comportement de stéganographie plutôt que de télémétrie classique : aucun endpoint analytics dédié — le client modifie le prompt système envoyé au modèle.

Étape 1 — Reconnaissance : vérification des fuseaux Asia/Shanghai et Asia/Urumqi ; comparaison du hostname ANTHROPIC_BASE_URL à une liste interne de 147 entrées (géants tech chinois, labs IA, revendeurs API), obfusquées en XOR(clé 91) + Base64.

Étape 2 — Encodage : le format de date passe de 2026-06-30 à 2026/06/30 ; l'apostrophe de la ligne Today's date is alterne entre variantes Unicode quasi identiques, encodant trois indicateurs booléens.

Étape 3 — Canal dissimulé : environ 3 bits d'information environnementale transitent dans une phrase anglaise apparemment anodyne — ce qu'Adnane Khan a qualifié de canal d'information dissimulé dans les prompts système.

JalonVersionDate
Première version affectéev2.1.912026-04-02
Dernière version affectéev2.1.1962026-06-29
Version correctivev2.1.1972026-07-01/02
bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

Donnée clé : la logique identique a été confirmée sur v2.1.193, v2.1.195 et v2.1.196 — près de 3 mois de déploiement silencieux sur environ 20 releases semver.

04

Populations concernées, réponse d'Anthropic et interdiction Alibaba

Seuls les développeurs routant Claude Code via un endpoint API non officiel activaient ce mécanisme. Les utilisateurs de api.anthropic.com en direct n'étaient pas concernés par cette voie.

ScénarioEmpreinte activée ?Risque principal
api.anthropic.com officielNonTélémétrie standard (politique de confidentialité)
ANTHROPIC_BASE_URL → passerelle tierceOuiStéganographie dissimulée + risque de bannissement
Fuseau Chine + proxyOui (signaux cumulés)Empreinte géo et domaine concurrent
Environnement entreprise réglementéSelon configurationSignal sortant non divulgué sur agent privilégié

Anthropic / Thariq Shihipar (1 juillet, X) : « This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release. » Anthropic qualifie l'initiative d'ingénierie anti-abus — non de porte dérobée malveillante — tout en reconnaissant l'absence totale de transparence au changelog.

Interdiction Alibaba (effective le 10 juillet 2026) : selon SCMP, Ars Technica et Reuters, Alibaba a classé Claude Code comme logiciel à haut risque, interdisant l'outil ainsi que les modèles Anthropic associés (Sonnet, Opus, Fable), avec migration vers la plateforme interne Qoder. Contexte : Anthropic avait signalé au Sénat américain que l'équipe Qwen d'Alibaba aurait utilisé environ 25 000 comptes frauduleux générant 28,8 millions d'interactions pour distiller les capacités de Claude.

SourceTerminologieAngle
MIIT / NVDBRisque de porte dérobée, préjudice graveConformité, transmission non consentie
Reuters / CNBCMécanisme de surveillance intégréAlerte réglementaire, réactions corporate
The RegisterCode dissimulé / stéganographie secrèteMises à jour non divulguées
Ars TechnicaTracking de type spywareCrise de confiance
AnthropicExpérience / anti-distillationObjectif défensif, divulgation défaillante
05

Plan d'action pour les développeurs et les équipes IT

Checklist développeur individuel :

01

Vérifier la version : exécuter claude --version ; signaler toute version entre 2.1.91 et 2.1.196.

02

Inspecter le proxy : echo $ANTHROPIC_BASE_URL — documenter toute passerelle non officielle.

03

Mettre à jour : npm install -g @anthropic-ai/claude-code@latest ou claude update ; confirmer ≥ 2.1.197.

04

Désinstallation complète (optionnel) : supprimer ~/.claude, ~/.claude.json, caches et configs sur macOS/Linux.

05

Évaluer les alternatives : consulter notre comparatif des assistants de code IA.

06

Auditer le trafic sortant : vérifier l'absence d'appels persistants vers des endpoints IA non autorisés depuis postes et CI.

07

IT entreprise : inventorier chaque poste et nœud CI avec Claude Code ; imposer mise à jour ou retrait conformément aux recommandations NVDB.

A

147 entrées de blocklist confirmées en v2.1.193–196 (Thereallo, Adnane Khan).

B

28,8 M d'interactions — accusation de distillation d'Anthropic contre Qwen.

C

Interdiction Alibaba 10/07 — mettre à jour les listes blanches logicielles dès maintenant.

Avertissement : analyse basée sur les bulletins MIIT NVDB et la presse spécialisée ; ne constitue pas un avis juridique ni un audit de sécurité. Ressources : Centre d'aide.

Maintenir une version affectée de Claude Code sur un Mac personnel rend l'audit des empreintes dissimulées difficile ; s'appuyer durablement sur des revendeurs Claude tiers expose à un fingerprinting d'endpoint ; exécuter des agents macOS dans des VM non licenciées viole l'EULA Apple. Pour la CI/CD iOS, l'accès root complet et des agents IA 24/7 en production, la location cloud Mac Mini M4 dédiée KVMNODE offre du matériel bare-metal isolé, sudo ouvert et facturation flexible — avec trafic sortant maîtrisable. Consultez nos tarifs ou commandez.