Security Alerte réglementaire 2026.07.09

MIIT alerte sur la porte dérobée Claude Code (2.1.91–2.1.196) : analyse technique et guide pour développeurs

Le 8 juillet 2026, la plateforme chinoise de partage des menaces et vulnérabilités cyber du ministère de l'Industrie et des Technologies de l'Information (MIIT, NVDB) a publié une alerte : l'outil de programmation IA Claude Code d'Anthropic, versions v2.1.91 à v2.1.196, présente une porte dérobée à risque grave — un mécanisme de surveillance intégré pouvant renvoyer localisation, identifiants et autres données sensibles vers des serveurs distants sans consentement. Si vous utilisez une version concernée, exécutez claude --version et mettez à jour vers v2.1.197+.

Cet article s'adresse aux développeurs Claude Code, responsables IT et sécurité en entreprise. Il retrace la chaîne complète — de l'implémentation Anthropic à l'exposition par reverse engineering, au rollback, à la qualification MIIT et à l'interdiction Alibaba — détaille la stéganographie et ses conditions de déclenchement, et fournit des listes pratiques de vérification, mise à jour et contrôle du trafic sortant. L'angle reste conformité et surveillance non divulguée, sans présenter l'affaire comme une fuite de données confirmée.

01 Alerte MIIT/NVDB sur Claude Code : TL;DR

  • Qualification réglementaire : le NVDB a officiellement alerté le 8 juillet 2026 sur une « porte dérobée à risque grave ».
  • Nature du risque : mécanisme de surveillance intégré ; transmission de localisation, identifiants et données sensibles sans consentement.
  • Versions concernées : v2.1.91 (publiée le 2 avril 2026) à v2.1.196 (29 juin 2026) — près de trois mois sans mention au changelog.
  • Recommandation officielle : désinstaller les versions touchées ou mettre à jour ; renforcer le contrôle du trafic sortant sur les postes de développement.
  • Réaction entreprises : Alibaba et d'autres groupes limitent ou interdisent Claude Code ; à partir du 10 juillet 2026, bascule vers l'outil interne Qoder.
  • Réponse éditeur : l'ingénieur Anthropic Thariq Shihipar a reconnu une mesure « expérimentale » anti-abus/anti-distillation lancée en mars ; retrait à partir de v2.1.197.
Faits essentiels de l'alerte NVDB
Élément Contenu
Nature du risqueMécanisme de surveillance intégré, transmission de données sensibles sans consentement
Données transmisesLocalisation géographique, identifiants et autres informations sensibles
Versions concernéesv2.1.91 à v2.1.196
Période de publication2 avril 2026 au 29 juin 2026
Version correctivev2.1.197 (parfois v2.1.198, 1–2 juillet 2026)

02 Chronologie complète de l'affaire Claude Code

Derrière le titre « alerte réglementaire » se déroule une histoire cohérente : Anthropic intègre une détection ciblant les utilisateurs liés à la Chine → des développeurs exposent le mécanisme par reverse engineering → l'éditeur s'excuse et rollback → Alibaba interdit → le MIIT qualifie de porte dérobée.

Jalons clés de l'affaire Claude Code 2026
Date Événement
Février 2026Anthropic annonce des investissements anti-distillation (classificateurs, empreintes comportementales, partage de renseignements)
Mars 2026Mécanisme de détection discret activé en interne dans Claude Code (sans divulgation publique)
2026-04-02Publication de Claude Code v2.1.91 ; le code de détection est distribué
2026-04 à 06Près de 20 versions ; la logique persiste, aucun changelog
2026-06-29Publication de v2.1.196 (dernière version concernée)
2026-06-30LegitMichel777 sur Reddit expose la stéganographie ; Thereallo publie une analyse ; Adnane Khan confirme la logique sur v2.1.193/195/196 via GitHub
2026-07-01Thariq Shihipar sur X : mesure « expérimentale » anti-abus/anti-distillation depuis mars ; rollback promis le lendemain
2026-07-02Claude Code v2.1.197 retire le code stéganographique ; changelog muet sur ce point
2026-07-03/04Reuters, TechCrunch : Alibaba interdit Claude Code et les modèles Anthropic à partir du 10 juillet ; bascule vers Qoder
2026-07-08Le NVDB publie l'alerte officielle : « porte dérobée à risque grave »
2026-07-10Entrée en vigueur de l'interdiction interne Alibaba

Fenêtre d'actualité : le 8 juillet marque le pic réglementaire ; le 10 juillet, la seconde vague avec l'interdiction Alibaba. Détails techniques : analyse approfondie de la stéganographie Claude Code.

03 Quels utilisateurs sont concernés ? Conditions de déclenchement

Point essentiel : tous les utilisateurs ne sont pas surveillés. Le mécanisme discret ne s'active que si la variable d'environnement ANTHROPIC_BASE_URL oriente les requêtes API vers un point de terminaison non officiel (passerelle d'entreprise, proxy tiers, service de revente d'API). Les utilisateurs de api.anthropic.com ne déclenchent pas ce chemin.

  • Angle 1 : les titres du type « Claude Code surveille tous les utilisateurs » sont inexactes et nuisent à la crédibilité technique.
  • Angle 2 : la conséquence directe est surtout un risque de bannissement de compte, pas une fuite de données confirmée avec préjudice financier démontré.
  • Angle 3 : Claude Code dispose d'accès fichier, shell et autres privilèges élevés — la tolérance pour un comportement invisible devrait être faible.
  • Angle 4 : près de trois mois sans divulgation au changelog ; empreinte ciblant régions et concurrents commerciaux spécifiques.
  • Dimension RGPD : la transmission de localisation et d'identifiants sans consentement éclairé peut toucher licéité, transparence (art. 5) et base légale (art. 6), ainsi que les obligations d'information (art. 13/14), indépendamment du déclencheur technique.

Pour décider, distinguer trois profils : développeur sur API officielle, développeur via proxy/passerelle, entreprise soumise à conformité — des expositions au risque très différentes.

04 Mécanisme de surveillance par stéganographie : décomposition en trois étapes

Étape 1 : reconnaissance d'environnement — utilisateur lié à la Chine ?

Si la condition de déclenchement est remplie, deux vérifications :

  1. Fuseau horaire système : Asia/Shanghai ou Asia/Urumqi
  2. Liste noire de domaines proxy : comparaison du hostname de ANTHROPIC_BASE_URL à une liste intégrée

Selon le reverse engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach, etc.), la liste compte 147 entrées : grands groupes tech chinois (Alibaba, Alipay, Ant, Baidu, ByteDance), mots-clés de labs IA (DeepSeek, Moonshot AI, Zhipu, MiniMax, Baichuan, StepFun, 01.AI) et passerelles proxy connues. Stockage : chiffrement XOR (clé 91) + encodage Base64.

Étape 2 : encodage stéganographique — retour discret

On parle de « stéganographie » plutôt que de « télémétrie » classique : pas de canal de données séparé, mais altération du prompt système envoyé au modèle :

  • Séparateur de date : si fuseau Chine détecté, le format passe de 2026-06-30 (tiret) à 2026/06/30 (barre oblique)
  • Apostrophe Unicode : dans Today's date is, l'apostrophe standard ' est remplacée par trois variantes Unicode quasi indiscernables — encodant « fuseau détecté / domaine détecté / mot-clé lab IA détecté »

Adnane Khan la définit comme « a covert information channel embedded in system prompts ». Un bit de format de date plus trois variantes d'apostrophe ≈ 3 bits d'information environnementale cachés dans une phrase anglaise ordinaire.

Correspondance apostrophe Unicode et format de date
Situation détectée Format de date Apostrophe Unicode
Par défaut (aucune correspondance)2026-06-30U+0027
Domaine institution/revendeur Chine2026-06-30U+2019
Mot-clé lab IA Chine2026-06-30U+02BC
Domaine + lab tous deux2026-06-30U+02B9
Fuseau Chine en plus2026/06/30(mêmes règles d'apostrophe)

Étape 3 : frontière avec la télémétrie « normale »

Claude Code collecte déjà des données (journaux d'événements, Datadog, OpenTelemetry) — courant pour les agents CLI/IDE. La controverse porte sur : ① stéganographie plutôt que télémétrie transparente et désactivable ; ② absence de divulgation pendant ~3 mois ; ③ empreinte ciblant régions et concurrents ; ④ outil à privilèges élevés, faible tolérance au comportement invisible.

version-check.sh
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

Désinstallation — chemins à nettoyer : macOS/Linux : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code ; Windows : %USERPROFILE%\.claude et caches associés. En entreprise, prévoir un audit du trafic sortant après désinstallation.

05 NVDB, Anthropic, Alibaba : déclarations et vocabulaire

MIIT / NVDB

  • Qualification : porte dérobée à risque grave
  • Description : mécanisme de surveillance intégré transmettant sans consentement localisation, identifiants et autres données sensibles vers des serveurs distants
  • Recommandation : audit complet des postes de développement → désinstallation ou mise à jour → renforcement du filtrage sortant et de la surveillance du trafic sur les segments réseau critiques

Anthropic / Thariq Shihipar (équipe Claude Code)

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Lecture : « expérience », pas « backdoor » ; objectif anti-revente et anti-distillation. Anthropic a accusé l'équipe Qwen d'Alibaba, dans une lettre au comité bancaire du Sénat américain, d'environ 25 000 comptes frauduleux et 28,8 millions d'interactions visant à extraire les capacités de Claude.

Alibaba

  • Formulation interne (SCMP, Ars Technica) : "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • Date d'effet : 10 juillet 2026
  • Périmètre : Claude Code et produits modèles Anthropic (Sonnet, Opus, Fable, etc.)
  • Alternative : plateforme interne Qoder
Vocabulaire des médias et de la communauté technique
Source Termes clés Angle narratif
NVDB / MIITbackdoor code / security backdoor risk / severe threatConformité et exfiltration de données
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanismReprise neutre + réactions entreprises
The Registercovert code / secret steganography systemCritique technique + mise à jour non divulguée
Ars Technicaspyware-like tracking / secret Claude trackerCrise de confiance + analyse politique
Cybernews"a nothing burger" (part de la tech)Réaction excessive ; ingénierie anti-distillation
Anthropicexperiment / anti-abuse / anti-distillation measureDéfense légitime, pas surveillance malveillante

06 Contexte : rivalité de distillation de modèles IA USA-Chine

Ce n'est pas un incident isolé, mais un reflet de la compétition IA de 2026 :

  • Anthropic interdit l'accès direct depuis la Chine et les « régions hostiles » ; contournement via VPN, moyens de paiement étrangers, proxies tiers
  • Février 2026 : article université de Pékin et CAS signalant des traces de distillation dans de nombreux grands modèles chinois
  • Anthropic avait déjà accusé DeepSeek, Moonshot AI, MiniMax, Alibaba, etc. d'utiliser sans autorisation les sorties Claude pour l'entraînement
  • Claude Opus 4.8 s'est parfois identifié comme Qwen/DeepSeek en test — pour certains observateurs, preuve de double standard
  • Les entreprises chinoises basculent vers des stacks propriétaires/open source (DeepSeek, Qwen, Kimi/Moonshot, Zhipu, MiniMax) ; Qoder illustre cette tendance chez Alibaba

Évaluer séparément l'objectif (anti-distillation) et les moyens (stéganographie, non-divulgation) — base pour une lecture équilibrée du débat « porte dérobée vs expérience ».

07 Que faire ? Listes de contrôle personnelles et entreprise

Liste développeur individuel

  1. Vérifier la version : claude --version — la version est-elle dans v2.1.91–2.1.196 ?
  2. Configuration proxy : echo $ANTHROPIC_BASE_URL — pointe-t-elle vers un point non officiel ?
  3. Mettre à jour immédiatement : npm install -g @anthropic-ai/claude-code@latest ou claude update vers v2.1.197+
  4. Contrôler le fuseau : Asia/Shanghai / Asia/Urumqi (surtout avec proxy)
  5. Désinstaller si besoin : supprimer ~/.claude, ~/.claude.json, etc., puis réinstaller la dernière version
  6. Évaluer des alternatives : Tongyi Lingma, Cursor, Qoder, etc. ; intégrer la transparence télémétrique dans les critères de choix

Liste IT entreprise

  1. Inventorier les postes de développement : toutes les stations et nœuds CI avec Claude Code
  2. Forcer mise à jour ou interdiction : v2.1.91–2.1.196 obligatoirement à jour ; interdiction possible sur modèle Alibaba selon conformité
  3. Audit trafic sortant : connexions persistantes vers points de terminaison IA non autorisés
  4. Filtrage sortant : restreindre les connexions depuis les segments réseau critiques
  5. Alternatives : outils internes (Qoder) ou assistants IA régionaux
  6. Mettre à jour les politiques : intégrer les outils IA tiers aux processus liste blanche/noire ; vérifier la documentation RGPD en cas de transmission de données personnelles

08 Données techniques citables sur l'affaire

  • Plage de versions concernées : v2.1.91 (2026-04-02) à v2.1.196 (2026-06-29), près de 20 itérations
  • Version corrective : v2.1.197 (parfois v2.1.198, 2026-07-01/02) ; changelog sans mention explicite du retrait
  • Liste noire de domaines : environ 147 entrées, obfuscation XOR(91) + Base64
  • Capacité du canal : 1 bit format de date + 3 variantes d'apostrophe ≈ 3 bits d'information environnementale
  • Échelle accusation anti-distillation Anthropic : ~25 000 comptes frauduleux, 28,8 millions d'interactions (lettre au comité bancaire du Sénat, équipe Qwen)
  • Interdiction Alibaba : effective le 10 juillet 2026 ; Claude Code et l'ensemble du portefeuille modèles Anthropic

Sources : IT之家, Beijing News, CNBC, The Register, Thereallo, TechCrunch (rapport Alibaba), Ars Technica.

Avertissement : analyse fondée sur la communication NVDB et les médias publics ; ne constitue pas un avis juridique ni un audit de sécurité. Adapter toute mesure (désinstallation, interdiction, contrôle trafic) aux politiques internes de sécurité et conformité.

09 FAQ : porte dérobée Claude Code et alerte MIIT

Q : Claude Code contient-il une porte dérobée ?
R : Dans v2.1.91–2.1.196, empreintes stéganographiques non divulguées ; le NVDB qualifie un risque de porte dérobée grave. Anthropic parle d'expérience anti-distillation, retirée en v2.1.197.

Q : Quelles versions sont concernées ?
R : v2.1.91 (2 avril 2026) à v2.1.196 (29 juin 2026). Mettre à jour vers v2.1.197 ou plus récent.

Q : L'API Anthropic officielle est-elle touchée ?
R : Non. Le mécanisme ne s'active que si ANTHROPIC_BASE_URL pointe vers un proxy ou une passerelle non officielle.

Q : Comment vérifier la version de Claude Code ?
R : claude --version ou npm list -g @anthropic-ai/claude-code.

Q : Peut-on continuer à utiliser Claude Code ?
R : À partir de v2.1.197+, le risque technique est corrigé. Les entreprises soumises à conformité peuvent désinstaller et auditer le trafic sortant. API officielle et version non concernée : usage possible.

Q : Quelle technique de stéganographie a été utilisée ?
R : Modification du séparateur de date dans le prompt système et variantes d'apostrophe Unicode dans Today's pour encoder fuseau/proxy.

Q : Pourquoi Alibaba a-t-il interdit Claude Code ?
R : Après les rapports de porte dérobée, ajout à la liste logiciels à haut risque ; à partir du 10 juillet 2026, bascule vers Qoder.

Q : Cela figurait-il dans les release notes ?
R : Non. Aucun changelog des versions concernées ne mentionnait le mécanisme.

Q : Claude Code est-il sûr maintenant ?
R : Code retiré en v2.1.197+. La confiance dépend de la tolérance au risque et de la politique de conformité de l'organisation.

Q : Quel lien avec la distillation de modèles ?
R : La distillation entraîne un modèle avec les sorties d'un autre. Anthropic présente le mécanisme comme défense contre revendeurs non autorisés et pipelines de distillation dans la rivalité IA USA-Chine — l'implémentation reste largement contestée.

10 Conclusion : conformité, confiance technique et JEXCLOUD

La valeur de cet article réside dans le croisement de trois fils — qualification réglementaire (MIIT/NVDB), stéganographie vérifiable (preuves de reverse engineering), distillation USA-Chine (contexte). « Porte dérobée » est le terme des autorités ; plus précis techniquement : « mécanisme de détection par stéganographie » ou « canal dissimulé ». Présenter cette tension avec rigueur convainc davantage qu'une alarme unilatérale.

Les équipes de production qui exécutent Claude Code ou des assistants IA alternatifs en environnement isolé connaissent trois limites réelles des postes locaux : connexions SSH/API interrompues par une connexion domestique instable, tâches agent suspendues à la fermeture du portable, environnements multi-utilisateurs difficiles à auditer. Pour un environnement plus stable et adapté aux agents IA : Mac bare metal multi-régions JEXCLOUD — puissance Apple Silicon dédiée, disponibilité 7×24, montée en charge mensuelle, déploiement en 120 secondes. Tâches lourdes Claude Code dans le cloud, interaction locale uniquement ; réseau et fuseau configurables séparément pour l'isolation conformité. Nœuds et tarifs : page tarifs JEXCLOUD.