+33 (0)1 85 12 00 03 Suivez-nous
Logo Skuria — Solutions informatiques souveraines
Parlons de votre projet
Faille ClaudeBleed : vulnérabilité de sécurité sur les agents IA en mode relais
  • 🛡️ Cybersécurité, 🤖 IA & Data

ClaudeBleed — Quand votre IA préférée devient l’espionne de quelqu’un d’autre

9 min de lecture
Facebook
Twitter
LinkedIn

Alerte dans la Silicon Valley : votre IA peut se faire pirater

Imaginez un assistant ultra-compétent. Il répond à vos e-mails, partage vos fichiers, accède à vos outils professionnels, gère vos agendas. Bref, il fait tout ce que vous lui demandez. Sauf qu’il y a un bug majeur dans son comportement : il obéit à n’importe qui, du moment que la demande ressemble à la vôtre.

Ce n’est pas un scénario de film de science-fiction. C’est exactement ce qui s’est passé entre mars et mai 2026 avec Claude, l’assistant IA d’Anthropic. Et le phénomène a été baptisé avec un nom qui claque : ClaudeBleed.

Plongée dans l’une des affaires de cybersécurité les plus fascinantes de l’année.

Les agents IA : la nouvelle surface d’attaque

Avant d’entrer dans le vif du sujet, un petit recadrage s’impose. Pendant longtemps, les IA comme ChatGPT ou Claude étaient de glorieux perroquets : vous posiez une question, ils répondaient. Point. Aucun pouvoir d’action réel sur le monde.

Mais en 2025-2026, tout a changé. Les agents IA — c’est-à-dire des IA capables d’agir concrètement (envoyer des e-mails, modifier des fichiers, exécuter du code, naviguer sur le web) — sont devenus mainstream. Et avec ce nouveau pouvoir est apparu un nouveau problème : comment l’IA sait-elle que c’est vraiment vous qui donnez les ordres ?

Spoiler : elle ne le sait pas toujours. Et des chercheurs en sécurité ont exploité cette faille avec une créativité déconcertante.

ClaudeBleed : l’extension Chrome qui joue à être vous

Le 7 mai 2026, les chercheurs de LayerX Security publient une démonstration qui fait l’effet d’une bombe dans les cercles de la cybersécurité. Leur découverte : une simple extension Chrome — aussi banale qu’un bloqueur de pubs — peut prendre le contrôle de Claude in Chrome et lui donner des ordres à votre place.

Voici comment ça marche en quatre étapes :

  1. Une extension malveillante s’installe dans votre navigateur (via le Chrome Web Store, sans permissions suspectes).
  2. Elle injecte du code dans la page claude.ai.
  3. Claude vérifie bien l’adresse du site… mais pas l’identité réelle de qui parle.
  4. L’extension donne des ordres à Claude, qui les exécute avec vos accès : Drive, Gmail, GitHub, tout y passe.

En clair : l’attaquant ne touche jamais à vos mots de passe. Il manipule votre assistant IA qui, lui, a déjà les clés de votre royaume numérique. Élégant et terrifiant à la fois.

Anthropic a réagi rapidement avec la version 1.0.70 de Claude in Chrome, en ajoutant des confirmations utilisateur. Sauf que… les chercheurs de LayerX ont contourné ce correctif en moins de 3 heures. Technique utilisée : la « boucle d’approbation » (le script envoie « Oui » automatiquement) et la manipulation de l’affichage des boutons pour tromper Claude lui-même sur ce qu’il confirme. 🙃

TrustFall : « Ouvrir ce dossier » ne veut plus dire ce que vous croyez

Le même jour (coïncidence troublante), Adversa AI publie sa propre découverte baptisée TrustFall, qui cible cette fois Claude Code, la version développeur de l’IA.

Le problème : quand vous ouvrez un projet dans Claude Code, vous cliquez « Oui » pour autoriser l’accès au dossier. Sauf que ce dossier peut contenir un fichier .mcp.json ou .claude/settings.json piégé, qui déclenche automatiquement l’exécution de programmes cachés avec vos permissions complètes.

Vous croyez autoriser la lecture de fichiers. En réalité, vous venez de lancer un programme malveillant. C’est ce qu’on appelle un consentement trompeur — le genre de tour de passe-passe numérique qui ferait rougir un prestidigitateur.

Mitiga Labs : vos clés d’accès traînent en clair sur votre disque dur

Le 12 mai, c’est au tour de Mitiga Labs de jeter un pavé dans la mare. Leur constat est simple et brutal : les jetons d’accès OAuth de Claude — ces précieuses clés numériques longue durée qui permettent à Claude d’accéder à vos services — sont stockés en texte clair dans un fichier ~/.claude.json.

N’importe quel programme tournant sur votre machine peut lire ce fichier. Et le modifier. Imaginez un paquet npm malveillant (il en existe des milliers) qui modifie ce fichier pour rediriger vos connexions Claude vers un serveur contrôlé par un attaquant. Et le pire : changer votre mot de passe ne sert à rien si le script malveillant continue de tourner en arrière-plan.

C’est comme si votre serrurier avait laissé un double de votre clé sous le paillasson, et qu’en changer la serrure ne suffisait pas parce que quelqu’un avait déjà fait une copie.

Le protocole MCP : 150 millions de téléchargements concernés

En avril 2026, OX Security avait déjà tiré la sonnette d’alarme sur le Model Context Protocol (MCP), le standard qui permet aux IA de se connecter à des outils externes (bases de données, APIs, fichiers…).

Le problème : les fichiers de configuration MCP sont traités comme de simples préférences, alors qu’ils peuvent déclencher l’exécution de commandes arbitraires sur votre machine. Et ces configurations se retrouvent partout — dans des projets open source, des templates GitHub, des packages npm. Le tout pour un total estimé de 150 millions de téléchargements potentiellement concernés.

C’est un peu comme si les paramètres de votre application Word pouvaient exécuter des programmes système. Personne n’aurait validé ça en code review… mais avec l’IA, ça a glissé sous le radar.

L’attaque de l’usine d’eau mexicaine : Claude comme arme offensive

Jusqu’ici, on parlait de vulnérabilités techniques. Mais le rapport de Dragos publié le 6 mai 2026 change complètement de registre.

Entre décembre 2025 et février 2026, une infrastructure d’eau de la région de Monterrey, au Mexique, a été la cible d’une cyberattaque. Et les attaquants ont utilisé Claude — légalement, depuis leurs propres comptes — pour générer automatiquement des scripts malveillants à une vitesse industrielle : plus de 350 fichiers, 49 modules d’attaque distincts, en quelques heures à peine.

Précision importante : il ne s’agit pas ici d’une faille de Claude. L’IA n’a pas été « hackée ». Elle a simplement été utilisée comme un outil de productivité… par des gens mal intentionnés. Un peu comme accuser un marteau d’être responsable d’un cambriolage. Mais ça illustre une réalité nouvelle : les LLM peuvent démultiplier la capacité offensive des attaquants de façon spectaculaire.

Le « Confused Deputy Problem » : un bug vieux de 37 ans qui revient nous hanter

Derrière toutes ces failles se cache un problème fondamental identifié en… 1988. Le chercheur Norm Hardy l’avait baptisé le « Confused Deputy Problem » — le problème du représentant confus.

L’idée : un représentant (ici, l’IA) agit avec votre autorité, mais ne peut pas toujours vérifier l’identité réelle de qui lui donne des ordres. Une infirmière qui suit un ordre médical sans vérifier que c’est bien votre médecin qui l’a prescrit. Un employé de banque qui exécute un virement « urgent » sur un simple e-mail.

Avec les agents IA, ce problème prend une ampleur inédite. Claude peut envoyer vos e-mails, modifier vos fichiers, interagir avec vos applications. Mais comment sait-il que c’est vraiment vous qui ordonnez l’action ? La réponse honnête : pas toujours.

Pourquoi « demander confirmation » ne suffit pas

La réponse instinctive d’Anthropic — ajouter des confirmations — est compréhensible. Mais insuffisante pour plusieurs raisons :

  • La boucle d’approbation : un script peut envoyer « Oui » automatiquement sans que vous le voyiez.
  • L’affichage manipulé : des attaquants peuvent renommer les boutons de confirmation pour tromper l’IA sur ce qu’elle valide.
  • Le consentement trop vague : « Ouvrir ce dossier » n’est pas la même chose que « lancer ces programmes ».
  • Le stockage non sécurisé : si les clés d’accès traînent en clair sur le disque, les confirmations ne servent à rien une fois celles-ci compromises.
  • L’absence de dialogue en CI/CD : dans les environnements automatisés, il n’y a personne pour cliquer « Oui » — les confirmations ne s’affichent tout simplement pas.

Ce que vous pouvez faire dès maintenant

Pas de panique — mais pas d’inaction non plus. Voici les gestes concrets qui font la différence :

Pour les utilisateurs individuels

  • Mettez à jour Claude in Chrome (condition nécessaire, pas suffisante)
  • Désactivez le mode « Agir sans demander » dans les paramètres
  • Faites le ménage dans vos extensions de navigateur — supprimez ce que vous n’utilisez pas
  • Créez un profil navigateur dédié uniquement à Claude, isolé de votre navigation quotidienne
  • Méfiez-vous des projets téléchargés depuis internet avant de les ouvrir dans Claude Code
  • Surveillez votre fichier ~/.claude.json : personne d’autre que vous ne devrait le modifier

Pour les entreprises

  • Faites l’inventaire de qui utilise Claude et avec quels niveaux d’accès
  • Mettez en place une liste blanche d’extensions navigateur autorisées
  • Verrouillez la configuration de Claude Code (interdire les fichiers .mcp.json non vérifiés)
  • Définissez des listes précises de commandes autorisées plutôt que des autorisations larges
  • Surveillez les logs d’activité de Claude et les modifications inattendues de fichiers
  • Isolez soigneusement vos environnements CI/CD automatisés
  • Si vous êtes dans l’industrie : assurez une séparation stricte IT/OT (opérationnel)

Le vrai changement de paradigme

ClaudeBleed n’est pas qu’un bug. C’est le signal d’un changement de paradigme que beaucoup n’ont pas encore pleinement réalisé.

Pendant des années, sécuriser un outil informatique signifiait protéger des données et des accès. Aujourd’hui, avec les agents IA, il faut aussi sécuriser les décisions que prend l’outil en votre nom. La question n’est plus seulement « Qui a accès à mes données ? » mais aussi « Qui peut donner des ordres à l’entité qui a accès à mes données ? »

Un problème théorique de 1988 revient sous une forme concrète et massive, à l’échelle de millions d’utilisateurs qui confient chaque jour un peu plus de pouvoir à leurs assistants IA.

La bonne nouvelle ? Ces vulnérabilités ont été découvertes par des chercheurs, pas exploitées à grande échelle. Les équipes d’Anthropic travaillent activement sur des correctifs. Et la communauté de la cybersécurité est désormais mobilisée sur ce sujet.

La mauvaise ? On n’en est qu’au début. Les agents IA vont continuer à gagner en autonomie et en accès. Le terrain de jeu pour les attaquants va s’élargir. Et le fameux « Confused Deputy » de 1988 n’a pas fini de nous donner du fil à retordre.

Sources : LayerX Security (7 mai 2026), Adversa AI (7 mai 2026), Mitiga Labs (12 mai 2026), OX Security (15 avril 2026), Oasis Security (18 mars 2026), Dragos (6 mai 2026). Synthèse réalisée à partir du dossier publié par Dyma.fr.

Table of Contents

À lire aussi
Skuria référencé Activateur France Num
  • 🤖 IA & Data
Claude Fable 5 et Mythos 5 : tout ce qu’il faut savoir
  • 🤖 IA & Data
Fable 5 et Mythos 5 suspendus par le gouvernement américain — directive juin 2026
Fable 5 suspendu par le gouvernement américain : l’affaire du 12 juin 2026
  • 🤖 IA & Data
Skuria obtient le label Mouvement Impact France — score d'impact social et environnemental
Skuria rejoint le Mouvement Impact France et confirme son engagement RSE avec un premier Score Impact supérieur à la moyenne nationale
  • Engagement RSE, 🤖 IA & Data
Faille ClaudeBleed : vulnérabilité de sécurité sur les agents IA en mode relais
ClaudeBleed — Quand votre IA préférée devient l’espionne de quelqu’un d’autre
  • 🛡️ Cybersécurité, 🤖 IA & Data
Gain de temps prouvé : 7 cas d’usage IA pour libérer vos équipes en PME
Gain de temps prouvé : 7 cas d’usage IA pour libérer vos équipes en PME
  • Non classé
🎯 Diagnostic gratuit

Votre IT est-elle
vraiment souveraine ?

Évaluation complète offerte par nos experts — résultats en 48h.

Réserver mon diagnostic →

Infrastructure cloud souveraine, workspace collaboratif, cybersécurité — découvrez comment Skuria protège les PME françaises

Diagnostic gratuit · Réponse sous 24h · Zéro engagement

Prendre rendez-vous
Nous appeler

Ces services peuvent vous intéresser

Hébergement

Développement

Intégration IA

Infogérance

Workspace

Installation Wifi

Sauvegarde