Des codes secrets dans votre IA : comment Claude marque ses utilisateurs à l'encre invisible

Des codes secrets dans votre IA : comment Claude marque ses utilisateurs à l'encre invisible

IAClaudeSécuritéVie Privée

Sources:thereallo.dev + Lobsters discussion + web research · HN

Anthropic Claude

Le 30 juin, un chercheur en sécurité nommé Thereallo a fait une découverte troublante en inspectant le code de Claude Code : Anthropic a discrètement glissé un système de marquage clandestin dans les instructions système envoyées à son IA. Ce mécanisme modifie automatiquement des signes de ponctuation en fonction de la localisation géographique et de l’environnement réseau de l’utilisateur — vous lisez une phrase anodine à l’écran, mais les octets transmis en arrière-plan contiennent des informations de traçage.

Ce n’est pas une spéculation. Thereallo a désossé le code et reconstitué intégralement le fonctionnement du système. Après avoir lu l’article original et les discussions de la communauté, je veux expliquer trois choses : comment ce système de marquage fonctionne concrètement, pourquoi Anthropic a choisi cette méthode, et quelle chaîne industrielle grise se cache derrière.

1. L’encre invisible dans les instructions système

Chaque fois que Claude Code dialogue avec le modèle d’IA, il insère automatiquement une ligne de date : « Today’s date is 2026-06-30. » En temps normal, il s’agit d’une simple information contextuelle de routine.

Mais Thereallo a découvert que lorsque l’utilisateur configure une adresse API personnalisée — c’est-à-dire sans passer par les serveurs officiels d’Anthropic — Claude Code modifie discrètement deux éléments de cette phrase.

Premièrement, le séparateur de date. Si le fuseau horaire de votre ordinateur est réglé sur « Asia/Shanghai » ou « Asia/Urumqi », la date passe de 2026-06-30 à 2026/06/30 — le tiret devient une barre oblique.

Deuxièmement, l’apostrophe. La petite apostrophe de « Today’s » existe en quatre versions différentes — visuellement identiques, mais avec des encodages Unicode totalement distincts. Si vous vous connectez directement aux serveurs officiels d’Anthropic, c’est une apostrophe ASCII standard. Si votre adresse API est identifiée comme appartenant à un « revendeur connu », elle est remplacée par un guillemet-apostrophe droite (U+2019). Si l’adresse contient le nom d’une entreprise chinoise d’IA (comme deepseek, moonshot, zhipu), un autre variant (U+02BC). Si les deux conditions sont réunies, encore un autre (U+02B9).

Pour l’utilisateur qui regarde son écran, la ligne de date est parfaitement normale. Mais quand les serveurs d’Anthropic reçoivent la requête, décoder ces octets leur permet de savoir : cet utilisateur passe-t-il par le proxy d’un revendeur, et ce proxy est-il lié à un laboratoire d’IA chinois.

Plus troublant encore, la logique de détection repose sur deux listes cachées. L’une est une liste noire de domaines contenant 147 entrées — des domaines de grandes entreprises chinoises comme Baidu, Alibaba et ByteDance, jusqu’à des domaines spécialisés de revendeurs comme claude-opus.top, openclaude.me, proxyai.com. L’autre est une liste noire de mots-clés incluant 11 noms d’entreprises chinoises d’IA : deepseek, moonshot, minimax, zhipu, baichuan, stepfun, dashscope, etc. Les deux listes sont encodées en Base64, puis chiffrées par XOR avec la clé 91 — une technique qu’on voit plus souvent dans les malwares que dans les outils d’une entreprise qui se revendique « security-first ».

Claude API灰色市场

2. La chaîne de revente à trois niveaux : pourquoi Anthropic est-elle si nerveuse ?

Pour comprendre pourquoi Anthropic a enterré des marqueurs clandestins dans son code, il faut d’abord saisir la nature de l’adversaire auquel elle fait face.

L’API de Claude est officiellement bloquée en Chine continentale — les utilisateurs chinois ne peuvent ni s’inscrire ni y accéder directement. Mais Claude est aussi l’une des IA les plus performantes en programmation, et les développeurs chinois veulent l’utiliser. Cet écart entre l’offre et la demande a fait naître un vaste marché gris, connu dans les cercles de développeurs chinois sous le nom de « station de transit » (transfer station).

La chercheuse Zilan Qian du Laboratoire de politique chinoise de l’Université d’Oxford a publié en mai une enquête qui décortique cette chaîne industrielle. En m’appuyant sur son rapport et les discussions qui ont suivi, je la résume en un modèle à trois niveaux :

Niveau 1 : l’arbitrage par mutualisation d’abonnements. Les revendeurs créent en masse des comptes développeurs gratuits pour collecter les 5 dollars de crédit d’essai offerts par Anthropic ; ou ils utilisent un seul abonnement Claude Max à 200 $/mois qu’ils divisent entre des dizaines, voire des centaines d’utilisateurs simultanés. Le coût par utilisateur est dilué jusqu’à devenir quasi nul. Certains vont plus loin en créant des comptes avec des cartes de crédit volées — le coût tombe à zéro. En avril dernier, Anthropic a commencé à exiger de certains utilisateurs qu’ils téléchargent une pièce d’identité avec photo émise par le gouvernement et réalisent un selfie biométrique — mais le marché gris s’est rapidement adapté en recrutant de vraies personnes dans des pays à faible revenu comme « prête-visages », pour moins de 30 dollars. Cette barrière défensive est déjà percée.

Niveau 2 : la dégradation et la falsification du modèle. Des chercheurs du centre CISPA Helmholtz pour la sécurité de l’information en Allemagne ont audité 17 services de transit et constaté une pratique généralisée de substitution frauduleuse. Vous payez pour Claude Opus (le modèle le plus avancé), mais vous recevez en réalité Claude Haiku (le moins cher) ou même un modèle chinois comme Qwen. Dans un benchmark médical, un service prétendant fournir Gemini-2.5 n’a obtenu qu’un score de 37, alors que l’API officielle atteignait près de 84. L’utilisateur croit avoir acheté une IA de pointe, il reçoit un substitut bon marché.

Niveau 3 : la revente du trafic comme données d’entraînement. C’est ici que se trouve le véritable centre de profit de toute la chaîne. Chaque prompt envoyé, chaque extrait de code téléchargé, chaque réponse reçue transite par les serveurs du revendeur, qui enregistre tout. Des chaînes de raisonnement complètes, des contextes de code, des sorties validées — c’est exactement la matière première la plus précieuse pour entraîner des modèles d’IA concurrents. Plusieurs développeurs chinois ont confié à Zilan Qian : la différence de prix sur la revente d’API n’est qu’un outil d’acquisition de clients, le vrai business, ce sont les logs. Sur HuggingFace, la plateforme de partage de modèles d’IA, des jeux de données de raisonnement Claude Opus d’origine inconnue circulent déjà.

Ce modèle explique l’anxiété d’Anthropic. En février 2026, Anthropic a publiquement accusé trois entreprises chinoises d’IA — DeepSeek, Moonshot AI et MiniMax — d’avoir utilisé plus de 24 000 faux comptes pour générer plus de 16 millions de conversations, distillant systématiquement les capacités de Claude pour entraîner leurs propres modèles. C’est une opération de contre-mesure à l’échelle industrielle.

3. Le dilemme de confiance d’Anthropic

Revenons à ce système de marquage clandestin. Qu’Anthropic veuille tracer les revendeurs et les attaquants par distillation, la motivation est compréhensible. Toute entreprise d’IA chercherait à protéger sa technologie fondamentale contre un pillage systématique.

Le problème, c’est la méthode.

Claude Code n’est pas un simple outil de chat. Il a la permission de lire votre système de fichiers, d’exécuter des commandes shell, de manipuler des dépôts Git — ce qu’il peut faire va bien au-delà d’une fenêtre de chat dans un navigateur. L’utilisateur lui confie cette clé sur la base d’un postulat fondamental : le développeur de cet outil est transparent. S’il peut cacher des marqueurs dans les instructions système sans vous le dire, comment être sûr qu’il ne fait pas la même chose ailleurs ?

Thereallo a écrit une phrase que je trouve particulièrement juste : « Trust is earned in the boring parts. » (La confiance se gagne dans les détails ennuyeux.) Anthropic aurait pu documenter ce mécanisme de traçage dans le journal des modifications, en faire un champ de télémétrie explicite, dire à l’utilisateur ce qui se passe et comment le désactiver. Au lieu de cela, l’entreprise a choisi la dissimulation — listes de domaines chiffrées en Base64 avec XOR, substitutions Unicode invisibles à l’œil nu, aucune mention dans la documentation publique. Ce n’est pas une fonctionnalité malveillante, mais c’est un choix étrange — un outil qui exige la confiance des développeurs a lui-même franchi la ligne rouge de la transparence.

Et du point de vue de l’ingénierie, l’efficacité de ce système de traçage est douteuse. Le contourner est trop facile : changer le fuseau horaire du système, utiliser un autre domaine de proxy, ou simplement patcher une variable d’environnement. N’importe quel adversaire motivé peut le neutraliser sans effort. Au final, ce que ce système parvient réellement à marquer, ce sont les développeurs ordinaires qui font des choses « normales mais particulières » — une équipe de recherche qui configure une passerelle interne, un utilisateur individuel avec un proxy local.

Le 1er juillet, le lendemain de la publication de l’article de Thereallo, Anthropic a annoncé qu’elle retirerait ce mécanisme et a déployé une nouvelle version de Claude Code (2.1.197) le jour même. Mais le journal des modifications ne mentionne nulle part la suppression des marqueurs clandestins.

4. Quelques mots pour finir

Je n’écris pas cet article pour défendre les revendeurs, ni pour condamner Anthropic. Les deux camps ont leur logique, et elle se défend.

Du côté des revendeurs, Claude est inaccessible légalement en Chine, mais les développeurs ont réellement besoin d’un bon assistant de programmation IA. La demande existe objectivement, et le marché gris en est le produit naturel. L’enquête de Zilan Qian mentionne un détail qu’on oublie facilement : parmi les utilisateurs des stations de transit, il y a des étudiants, des professeurs, des développeurs freelance — ils veulent juste utiliser de meilleurs outils, sans imaginer qu’ils deviennent aussi des travailleurs de la donnée.

Du côté d’Anthropic, quand on a dépensé des dizaines de milliards de dollars pour développer un modèle et qu’on voit des concurrents le distiller à grande échelle avec de faux comptes, n’importe qui chercherait à riposter. Et de son point de vue, le trafic des proxies chinois mélange arbitrage de revente et distillation industrielle — il est effectivement difficile de faire la distinction avec précision.

Mais je veux attirer l’attention du lecteur sur un autre aspect : dans la chaîne industrielle grise de l’IA, ce n’est pas seulement le quota d’API qui est marchandisé. Chacune de vos questions, chaque extrait de code, chaque contexte de raisonnement est peut-être en train d’être enregistré, revendu, utilisé pour entraîner le prochain modèle d’IA. Vous profitez d’une réduction de 70 %, mais vos données, c’est le prix caché que vous payez.

Quant au marqueur clandestin dans les instructions système, Anthropic l’a retiré. Mais cette affaire laisse plus de questions qu’elle n’en résout : quand un outil capable de lire et d’écrire dans tout votre projet commence à cacher des choses, d’où peut encore venir la confiance ?


Liens de référence :


Image d’en-tête : TechTimes / Anthropic