Sécurité IA & conformité 9 juillet 2026 ~24 min Claude Code NVDB

Alerte NVDB sur le risque de backdoor Claude Code
(2.1.91–2.1.196) : analyse technique et conduite à tenir

Qualification officielle NVDB · mécanisme de stéganographie · interdiction Alibaba · vérification / mise à jour / désinstallation

Terminal affichant claude --version pour vérifier les versions Claude Code concernées

En bref : Le 8 juillet 2026, la plateforme chinoise de partage des menaces et vulnérabilités (NVDB, MIIT) a publié une alerte : l'outil de programmation IA Claude Code d'Anthropic, versions v2.1.91 à v2.1.196, présente un risque de backdoor grave — un mécanisme de surveillance intégré pouvant renvoyer localisation et identifiants sans consentement. Exécutez immédiatement claude --version ; mettez à jour vers 2.1.197+ ou désinstallez. Cet article couvre la chronologie complète, qui est réellement touché (pas tous les utilisateurs), la stéganographie, les positions NVDB / Anthropic / Alibaba, le contexte de distillation USA-Chine, des checklists personnelles et entreprise, et 8 FAQ. Détails techniques : analyse approfondie de la stéganographie Claude Code.

01

Ce qui s'est passé : alerte NVDB et chronologie

Le 8 juillet 2026, le NVDB a publié une alerte officielle qualifiant le mécanisme de détection intégré de risque de backdoor grave. Mesures recommandées : inventorier tous les postes de développement, désinstaller ou mettre à jour vers une version sécurisée, renforcer le contrôle des flux sortants sur les segments réseau critiques.

ÉlémentContenu
Nature du risqueMécanisme de surveillance intégré transmettant des données sensibles sans consentement
Données transmisesLocalisation géographique, identifiants, etc.
Versions concernéesv2.1.91 à v2.1.196
Période de publication2 avril au 29 juin 2026
Version corrigéev2.1.197 (parfois v2.1.198, 1er/2 juillet 2026)
Réaction entreprisesAlibaba et d'autres ont restreint ou interdit Claude Code ; remplacement : Qoder

Chronologie (février – juillet 2026)

  1. 02

    Février 2026 : Anthropic annonce des investissements en anti-distillation (classifieurs, empreintes comportementales, partage d'intel).

  2. 03

    Mars 2026 : mécanisme de détection discret déployé en interne — sans annonce publique.

  3. 04

    2 avril 2026 : sortie de v2.1.91, qui distribue le code.

  4. 06

    29 juin 2026 : v2.1.196 — dernière version concernée.

  5. 06

    30 juin 2026 : LegitMichel777 sur Reddit ; analyse technique de Thereallo ; rapport de reverse engineering d'Adnane Khan confirmant v2.1.193/195/196.

  6. 07

    1er juillet 2026 : Thariq Shihipar sur X admet une « expérience » anti-abus/anti-distillation lancée en mars ; rollback annoncé pour le lendemain.

  7. 07

    2 juillet 2026 : v2.1.197 retire le code — absent du changelog.

  8. 07

    3-4 juillet 2026 : Reuters et TechCrunch : interdiction Alibaba à partir du 10 juillet.

  9. 07

    8 juillet 2026 : alerte officielle NVDB — « risque de backdoor grave ».

  10. 07

    10 juillet 2026 : interdiction interne Alibaba effective.

Chaîne narrative : Anthropic place un point de détection pour utilisateurs liés à la Chine → reverse engineering communautaire → excuses et rollback → interdiction Alibaba → qualification réglementaire en backdoor.

02

Qui est réellement concerné : conditions de déclenchement

Précision essentielle : le mécanisme ne s'applique pas à tous les utilisateurs. Les titres du type « Claude Code espionne tout le monde » sont inexacts.

Il ne s'active que si la variable ANTHROPIC_BASE_URL redirige les requêtes API vers un endpoint non officiel — passerelle d'entreprise, proxy tiers, revendeur d'API. L'usage direct de api.anthropic.com ne déclenche pas ce chemin.

Matrice de décision par scénario

ScénarioDétection active ?Action recommandée
api.anthropic.com officiel + version concernéeNonMettre à jour vers 2.1.197+ malgré tout — sérénité conformité
ANTHROPIC_BASE_URL via proxy + version concernéeOuiMise à jour ou désinstallation immédiate ; audit egress historique
Tout endpoint + 2.1.197 ou plusNon (retiré)Surveiller changelog et politique entreprise
Postes dev entreprise (proxies mixtes)Selon configurationAudit ANTHROPIC_BASE_URL et distribution des versions
Auto-vérification version et proxy
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
# ou
claude update
03

Mécanisme technique : stéganographie en trois étapes

La controverse porte sur la stéganographie, pas la télémétrie classique. Pas de canal de reporting séparé : c'est le prompt système envoyé au modèle qui est altéré. Adnane Khan le définit comme a covert information channel embedded in system prompts.

Étape 1 : reconnaissance d'environnement

Après déclenchement, le code vérifie : (1) fuseau Asia/Shanghai ou Asia/Urumqi ; (2) correspondance du hostname de ANTHROPIC_BASE_URL avec une liste noire intégrée de 147 entrées — domaines tech chinois, mots-clés de labs IA (DeepSeek, Moonshot, Zhipu, MiniMax…), proxies API connus. Liste obfusquée par XOR (clé 91) + Base64.

Étape 2 : encodage stéganographique

SignalManifestationSignification
Séparateur de date2026-06-302026/06/30Fuseau Chine détecté
Variantes Unicode d'apostrophe (3 types)Apostrophe dans Today's date is modifiéeEncodage : fuseau / domaine / lab IA

1 bit de format de date + 3 variantes d'apostrophe encodent environ 3 bits d'information d'environnement dans des phrases anglaises apparemment normales, envoyées à chaque requête vers les serveurs Anthropic.

Étape 3 : distinction avec la « télémétrie normale »

  1. 01

    Stéganographie plutôt qu'un canal de télémétrie découvrable par l'utilisateur.

  2. 02

    Aucune mention dans le changelog pendant près de trois mois.

  3. 03

    Empreinte ciblant certaines régions et concurrents commerciaux.

  4. 04

    L'outil dispose d'accès fichiers et exécution shell — la tolérance au comportement invisible doit être faible.

Conséquence documentée : risque de bannissement de compte, pas de fuite de données confirmée — éviter la dramatisation.

04

Positions des parties prenantes

NVDB / MIIT

Qualification : risque de backdoor grave. Mécanisme de surveillance intégré renvoyant localisation et identifiants sans consentement. Mesures : audit des postes → désinstallation ou mise à jour → contrôle egress et monitoring du trafic.

Anthropic / Thariq Shihipar

Sur X (1er juillet) : « This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release. » — qualification d'« expérience », pas de « backdoor » ; objectif anti-revente et anti-distillation.

Contexte : Anthropic a accusé l'équipe Qwen d'Alibaba, dans un courrier au comité bancaire du Sénat américain, d'utiliser près de 25 000 comptes frauduleux et 28,8 millions d'interactions pour distiller Claude.

Alibaba

Selon SCMP et Ars Technica, note interne : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » À partir du 10 juillet 2026, interdiction pour tous les employés de Claude Code et des modèles Anthropic (Sonnet, Opus, Fable…) ; remplacement : Qoder.

SourceTermes clésAngle
NVDB / MIITbackdoor / security backdoor risk / severe threatConformité et exfiltration
CNBC / Reuterssecurity backdoor / built-in monitoringReprise régulateur + réactions entreprises
The Registercovert code / secret steganographyResponsabilité technique + absence de divulgation
Ars Technicaspyware-like tracking / secret trackerCrise de confiance + analyse politique
Anthropicexperiment / anti-abuse / anti-distillationDéfense légitime de la propriété du modèle
05

Contexte : rivalité de distillation IA USA-Chine

Pas un incident isolé, mais un symptôme de la compétition IA de 2026 :

  • Anthropic interdit l'accès direct depuis la Chine et les « régions hostiles » — contournement via VPN, cartes étrangères ou proxies courant.
  • Février 2026 : chercheurs de Pékin et de l'Académie chinoise publient un papier sur les traces de distillation dans les modèles chinois.
  • Anthropic avait accusé DeepSeek, Moonshot, MiniMax et Alibaba d'utiliser les sorties Claude pour l'entraînement.
  • Claude Opus 4.8 s'est identifié à tort comme Qwen/DeepSeek en test — embarrassant dans le contexte de « détection utilisateurs chinois ».
  • Les entreprises chinoises basculent vers l'auto-développement ; Qoder d'Alibaba en est l'illustration.
06

Que faire maintenant : checklists

Développeur individuel (5 étapes)

  1. 01

    Exécuter claude --version — version entre 2.1.91 et 2.1.196 ?

  2. 02

    Vérifier echo $ANTHROPIC_BASE_URL — proxy non officiel ?

  3. 03

    Si concerné : npm install -g @anthropic-ai/claude-code@latest ou claude update.

  4. 04

    Désinstallation complète : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code (Windows : %USERPROFILE%\.claude…).

  5. 05

    Endpoint officiel ou alternatives — voir comparatif des assistants IA de codage.

IT / sécurité entreprise (5 étapes)

  1. 01

    Inventaire logiciel de tous les postes dev — installations et versions Claude Code.

  2. 02

    Audit ANTHROPIC_BASE_URL dans profils shell et configs CI.

  3. 03

    Mise à jour forcée ou désinstallation — processus « logiciel à haut risque » type Alibaba.

  4. 04

    Audit egress — trafic sortant vers endpoints IA non autorisés.

  5. 05

    Évaluer alternatives internes (Tongyi Lingma, Qoder, Cursor…) et définir une whitelist conformité.

VersionPublicationStatut
v2.1.912026-04-02Première version avec mécanisme discret
v2.1.1962026-06-29Dernière version concernée
v2.1.197 / 2.1.1982026-07-01/02Code de détection retiré
07

FAQ

v2.1.91–2.1.196 : code de détection non divulgué ; NVDB = risque de backdoor grave ; Anthropic = expérience anti-distillation, retirée en 2.1.197.

Non. Activation uniquement si ANTHROPIC_BASE_URL pointe vers proxy ou passerelle non officielle.

En 2.1.197+ avec endpoint officiel, risque fortement réduit pour les solo devs ; les entreprises doivent évaluer conformité et précédent Alibaba.

Classification logiciel à haut risque ; interdiction à tous les employés dès le 10 juillet ; bascule vers Qoder.

Sources primaires : v2.1.197 (1er juillet) ; certains médias chinois : v2.1.198. Recommandation : « 2.1.197 ou supérieur ».

Entraîner un modèle avec les sorties d'un autre. Anthropic ciblait revente non autorisée et pipelines de distillation — contexte motivationnel central.

Pour audit egress ou code sensible : Mac distant dédié + VNC — variables d'environnement et permissions en session graphique, résiliation en fin de projet.

Non. Aucun changelog concerné ne l'évoquait ; reconnaissance et rollback après exposition communautaire.

Avertissement

Cet article s'appuie sur l'alerte NVDB du MIIT et des reportages publics. Il est fourni à titre informatif pour l'orientation technique et conformité, sans valeur de conseil juridique ou d'audit de sécurité. Évaluez vos propres politiques avant toute désinstallation ou blocage de trafic.

Conclusion

La leçon centrale : un outil de programmation IA à haut privilège avec canal discret non divulgué — même motivé par l'anti-distillation — déclenche qualification réglementaire et interdictions d'entreprise. Proxies, clés API mixtes et Claude Code sur le poste principal sous-estiment le coût des audits de version et d'egress.

Pour valider Claude Code sur macOS ou comparer des alternatives sans polluer votre machine principale, un Mac distant VNCMac offre un nœud isolé : vérification de version, variables d'environnement et audit graphique des permissions via VNC. Consultez les forfaits Mac mini M4 — location à l'heure.