Claude Code Backdoor expliqué
Stéganographie, versions affectées et guide de sécurité (2026)

Synthèse : le 8 juillet 2026, la plateforme chinoise de partage des menaces et vulnérabilités (NVDB) a publié une alerte signalant que l'outil de programmation IA Claude Code d'Anthropic, dans les versions v2.1.91 à v2.1.196, présente un risque de porte dérobée grave : un mécanisme de surveillance intégré pouvait renvoyer, sans consentement explicite, la localisation géographique et des identifiants sensibles. Cet article s'adresse aux développeurs et aux équipes IT qui utilisent Claude Code. Il reconstitue la chronologie, décrypte la stéganographie, compare les positions du NVDB, d'Anthropic et d'Alibaba, situe le contexte de la guerre de distillation des modèles IA sino-américaine, et propose une checklist en six étapes : vérification de version, mise à niveau, désinstallation et conformité entreprise. Si vous avez configuré ANTHROPIC_BASE_URL vers un proxy, exécutez immédiatement claude --version.

01

Alerte NVDB sur Claude Code : chronologie et chaîne d'événements

Cette affaire n'est pas un simple communiqué réglementaire : elle suit une séquence précise — Anthropic intègre discrètement un mécanisme de détection → des développeurs le découvrent par reverse engineering → l'éditeur s'excuse et retire le code → Alibaba interdit l'outil → le NVDB le qualifie de porte dérobée. Comprendre cette chaîne est indispensable pour évaluer si Claude Code reste utilisable dans votre contexte.

DateÉvénement
Février 2026Anthropic annonce publiquement des investissements dans la lutte anti-distillation (classificateurs, empreintes comportementales, partage de renseignements)
Mars 2026Déploiement interne d'un mécanisme de détection discret, sans divulgation publique
2026-04-02Publication de Claude Code v2.1.91, première version contenant le code de détection
Avril–juin 2026Près de vingt versions successives ; la logique persiste, absente des changelog
2026-06-29Publication de v2.1.196, dernière version de la plage affectée
2026-06-30Publication Reddit par LegitMichel777 ; analyse technique de Thereallo ; rapport de reverse engineering d'Adnane Khan sur GitHub confirmant v2.1.193/195/196
2026-07-01Thariq Shihipar (ingénieur Claude Code) reconnaît sur X une « expérience » anti-abus lancée en mars, promet un retrait le lendemain
2026-07-02Publication de v2.1.197 (certaines sources citent v2.1.198), retrait du code de stéganographie, changelog silencieux
2026-07-03/04Reuters et TechCrunch : Alibaba interdira Claude Code et les modèles Anthropic à partir du 10 juillet, bascule vers l'outil interne Qoder
2026-07-08Alerte officielle du NVDB : risque de porte dérobée, menace grave
2026-07-10Entrée en vigueur de l'interdiction interne chez Alibaba
warning

Cadrage du risque : Claude Code dispose d'un accès élevé au système de fichiers et à l'exécution de commandes shell. Les développeurs tolèrent mal les comportements invisibles — or ce mécanisme est resté actif près de trois mois sans divulgation. Conséquence documentée : risque de bannissement de compte et exposition réglementaire, et non une fuite de données avérée à grande échelle. L'analyse doit rester factuelle et centrée sur la surveillance non divulguée.

02

Qui est réellement concerné ? Conditions d'activation de la surveillance

Point souvent mal compris : le mécanisme ne s'appliquait pas à tous les utilisateurs. Affirmer que « Claude Code surveille tout le monde » est inexact et nuit à la crédibilité technique de l'analyse.

Profil utilisateurDétection activéeNiveau de risque
API officielle
ANTHROPIC_BASE_URL non défini, connexion directe à api.anthropic.com
NonFaible (mise à jour vers v2.1.197+ recommandée)
Passerelle entreprise / proxy tiers
ANTHROPIC_BASE_URL pointant vers un endpoint non officiel
OuiÉlevé (v2.1.91–2.1.196 : empreinte digitale active)
Fuseau horaire chinois + domaine proxy sur liste noireOuiMaximal (encodage stéganographique à chaque requête)
Salariés d'entreprises (Alibaba, etc.)Logiciel à haut risque ; interdiction effective au 10/07

Une fois activé, le code effectue deux types de reconnaissance environnementale :

  1. 1

    Détection du fuseau horaire : correspondance avec Asia/Shanghai ou Asia/Urumqi

  2. 2

    Correspondance avec une liste noire de domaines proxy : le hostname de ANTHROPIC_BASE_URL est comparé à 147 règles intégrées, couvrant Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax et des passerelles API connues

info

Obfuscation de la liste noire : les entrées sont protégées par un chiffrement XOR (clé 91) suivi d'un encodage Base64, empêchant l'extraction directe via strings — preuve clé de la nature « stéganographique » du mécanisme, distincte d'une télémétrie classique.

03

Mécanisme de stéganographie Claude Code : analyse technique en trois étapes

Le chercheur Adnane Khan le définit comme « a covert information channel embedded in system prompts » (canal d'information dissimulé dans les prompts système). Aucun canal de télémétrie séparé : le code altère le prompt système lui-même.

Étape 1 : variante du séparateur de date

Lorsque le fuseau horaire chinois est détecté, le format de date du prompt système passe de 2026-06-30 (tirets) à 2026/06/30 (barres obliques), encodant 1 bit d'information environnementale.

Étape 2 : substitution d'apostrophes Unicode

Dans Today's date is, l'apostrophe standard ' est remplacée par l'une de trois variantes Unicode visuellement quasi identiques, encodant respectivement les indicateurs « fuseau horaire / domaine proxy / mot-clé laboratoire IA ».

Étape 3 : exfiltration silencieuse à chaque requête

Environ 3 bits d'information environnementale sont dissimulés dans une phrase anglaise apparemment normale, transmise au serveur Anthropic à chaque appel API.

DimensionStéganographie de cette affaireTélémétrie classique (Datadog, OpenTelemetry, etc.)
DivulgationAucune mention dans le changelog pendant ~3 moisGénéralement couverte par une politique de confidentialité
Canal de transmissionEncodage dans le prompt systèmeCanal de télémétrie distinct, auditable
CibleGéographie + empreinte de concurrents commerciauxStatistiques d'usage et journaux d'erreurs génériques
Privilèges de l'outilAccès fichiers + exécution shellAgents CLI/IDE comparables, mais comportement attendu par l'utilisateur

Versions affectées et versions corrigées

TypeVersionDate
Première version avec mécanisme discretv2.1.912026-04-02
Dernière version affectéev2.1.1962026-06-29
Version corrigéev2.1.197 (certaines sources : v2.1.198)2026-07-01/02
bash
# Vérifier la version installée
claude --version

# Contrôler si un proxy déclencheur est configuré
echo $ANTHROPIC_BASE_URL

# Mise à niveau via npm
npm install -g @anthropic-ai/claude-code@latest

# Ou via la commande intégrée
claude update
04

Positions du NVDB, d'Anthropic et d'Alibaba : comparaison

NVDB / autorités chinoises

Qualification : risque de porte dérobée, menace grave. Description : mécanisme de surveillance intégré transmettant sans consentement la localisation et des identifiants sensibles vers un serveur distant. Recommandations : audit complet des postes de développement, désinstallation ou mise à niveau, renforcement du contrôle du trafic sortant et de la surveillance réseau.

Anthropic / Thariq Shihipar (ingénieur Claude Code)

« This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release. »

Traduction des points clés : qualification d'« expérience (experiment) » et non de « porte dérobée (backdoor) », objectif anti-revente et anti-distillation. Contexte complémentaire : Anthropic a écrit au comité bancaire du Sénat américain, accusant l'équipe Qwen d'Alibaba d'avoir utilisé environ 25 000 comptes frauduleux et généré 28,8 millions d'interactions pour extraire les capacités de Claude.

Alibaba

Formulation interne (selon SCMP et Ars Technica) : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » Entrée en vigueur le 10 juillet 2026, couvrant Claude Code et les produits modèles Anthropic (Sonnet, Opus, Fable), avec bascule vers la plateforme interne Qoder.

SourceTermes clésAngle narratif
NVDB / Chinebackdoor / security backdoor risk / severe threatConformité et risque d'exfiltration de données
CNBC / Reuterssecurity backdoor / built-in monitoring mechanismReprise neutre de la qualification réglementaire et réactions entreprises
The Registercovert code / secret steganography systemResponsabilité technique et mises à jour non divulguées
Ars Technicaspyware-like tracking / secret Claude trackerCrise de confiance et analyse politique
Cybernews« a nothing burger » (opinion d'une partie de la communauté technique)Réaction jugée excessive ; simple mesure anti-distillation
Anthropic (officiel)experiment / anti-abuse / anti-distillationObjectif défensif légitime, pas surveillance malveillante
05

Contexte : la guerre de distillation des modèles IA sino-américaine

Cet événement s'inscrit dans la compétition IA de 2026 entre les États-Unis et la Chine :

  • Anthropic interdit depuis longtemps l'accès direct à ses modèles depuis la Chine et certaines régions, mais les utilisateurs contournent via VPN, numéros de téléphone ou cartes bancaires étrangers, et proxies tiers
  • En février 2026, des chercheurs de l'université de Pékin et de l'Académie chinoise des sciences ont publié une étude détectant des traces de distillation dans la plupart des grands modèles chinois
  • Anthropic a accusé DeepSeek, Moonshot AI, MiniMax et Alibaba d'utiliser sans autorisation les sorties de Claude pour entraîner leurs propres modèles
  • Claude Opus 4.8 a été signalé lors de tests identifiant erronément Qwen ou DeepSeek, interprété par certains comme un double standard
  • Les entreprises chinoises accélèrent l'adoption de modèles domestiques ou open source (DeepSeek, Qwen, Kimi/Moonshot, Zhipu, MiniMax) ; Qoder chez Alibaba en est l'illustration concrète

Ce contexte éclaire la tension d'Anthropic face à la distillation, et explique le débat technique entre « défense légitime » et « surveillance dépassant les limites acceptables ».

06

Que faire après l'affaire Claude Code ? Checklist en six étapes

  1. 01

    Vérification de version : exécutez claude --version et confirmez si vous êtes dans l'intervalle v2.1.91–2.1.196

  2. 02

    Contrôle de l'endpoint : exécutez echo $ANTHROPIC_BASE_URL pour vérifier si vous passez par un proxy ou une passerelle non officielle

  3. 03

    Mise à niveau immédiate : lancez npm install -g @anthropic-ai/claude-code@latest ou claude update, cible v2.1.197+

  4. 04

    Désinstallation complète (optionnel) : supprimez les répertoires résiduels ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code

  5. 05

    Audit du trafic sortant (entreprise) : auditez les connexions sortantes des postes de développement vers des endpoints IA non autorisés ; renforcez le filtrage egress sur les segments réseau critiques

  6. 06

    Évaluation des alternatives : comparez objectivement Qoder, Cursor, Codex CLI, Gemini CLI et autres outils internes selon votre politique de conformité

Données factuelles clés

  • Plage de versions affectées : v2.1.91 (2026-04-02) à v2.1.196 (2026-06-29), soit environ 3 mois sans divulgation dans le changelog
  • Liste noire de domaines proxy : 147 entrées selon plusieurs analyses indépendantes (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach)
  • Capacité d'encodage stéganographique : 1 bit de format de date + 3 variantes d'apostrophe Unicode ≈ 3 bits d'empreinte environnementale par requête
  • Échelle des accusations de distillation (Alibaba/Qwen) : environ 25 000 comptes frauduleux et 28,8 millions d'interactions selon la lettre d'Anthropic au Sénat américain

Basculer vers des outils alternatifs ou continuer à exécuter Claude Code sur un Mac local pose souvent des défis : écart de capacité des modèles, cycles d'approbation conformité longs, et goulots d'étranglement de calcul local en scénarios multi-agents. Pour les équipes de production nécessitant des pipelines iOS CI/CD stables, une orchestration d'agents IA et l'isolation des CLI à haut privilège dans un environnement contrôlé, la location cloud Mac Mini de NodeMini — matériel dédié, accès SSH et trafic sortant auditable — constitue une voie de déploiement plus fiable.

Avertissement : cet article repose sur l'alerte publique du NVDB, les déclarations d'Anthropic et les analyses de sécurité indépendantes. Il est fourni à titre informatif et ne constitue ni un avis juridique ni une conclusion d'audit de sécurité. Évaluez toute mesure de désinstallation, d'interdiction ou de filtrage réseau selon la politique de sécurité de votre organisation.

FAQ

Questions fréquentes

Dans v2.1.91–2.1.196, Anthropic a intégré un code de détection par stéganographie non divulgué. Le NVDB chinois l'a qualifié de risque de porte dérobée ; Anthropic parle d'une expérience anti-distillation, retirée en v2.1.197. La formulation technique la plus précise est « mécanisme de détection par stéganographie » ou canal dissimulé (covert channel).

Non. Le mécanisme ne s'activait que lorsque ANTHROPIC_BASE_URL pointait vers un proxy ou une passerelle non officielle. Les utilisateurs connectés directement à api.anthropic.com ne déclenchaient pas cette voie de détection.

Exécutez npm uninstall -g @anthropic-ai/claude-code, puis supprimez ~/.claude, ~/.claude.json et les répertoires cache associés. En entreprise, complétez par un audit du trafic sortant. Pour isoler l'environnement de développement agent, consultez les tarifs de location NodeMini.

Après la révélation du risque de porte dérobée, Alibaba a inscrit Claude Code sur sa liste de logiciels à haut risque. À partir du 10 juillet 2026, l'outil et les modèles Anthropic associés sont interdits en interne, au profit de Qoder. Ce contexte est lié aux accusations d'Anthropic contre l'équipe Qwen pour distillation à grande échelle.

Non. Aucun changelog de la plage affectée ne mentionne ce mécanisme. Le retrait en v2.1.197 n'a pas non plus été explicitement documenté — point central de la critique de The Register et d'Ars Technica.

Anthropic a retiré le code de stéganographie en v2.1.197+. La confiance continue dépend de la tolérance au risque et de la politique de conformité de votre organisation. Une partie de la communauté technique (Cybernews) juge la réaction disproportionnée ; les entreprises doivent s'appuyer sur leurs propres audits.

La distillation consiste à entraîner un modèle sur les sorties d'un autre modèle. Anthropic indique que le mécanisme visait les revendeurs non autorisés et les pipelines de distillation. Pour les bonnes pratiques de conformité des agents, consultez le centre d'aide NodeMini.

La plupart des sources primaires citent v2.1.197 (1er juillet 2026) ; certains médias techniques chinois mentionnent v2.1.198. Recommandation : viser « v2.1.197 ou supérieur » et confirmer avec claude --version avant déploiement.

En Chine : Qoder (Alibaba), outils internes et assistants locaux. À l'international : Cursor, Codex CLI, Gemini CLI, etc. Le choix dépend des capacités du modèle, de l'approbation conformité et des besoins en calcul. Comparez les offres sur la page tarifs de location.

Les rapports publics n'ont pas confirmé de perte financière directe ni d'abus avéré de données personnelles. Les conséquences documentées sont le risque de bannissement de compte et l'exposition réglementaire, et non un incident de fuite de données à grande échelle. L'analyse doit rester centrée sur la surveillance non divulguée et les risques de conformité.