L'entreprise la plus prudente de l'IA ne sécurise pas ses propres chats Claude partagés.
Anthropic refuse l'accès public à Mythos parce que c'est trop dangereux. Pendant ce temps, son propre domaine claude.ai sert de page de phishing via les chats partagés. L'industrie de l'IA investit dans le risque spectaculaire et néglige le risque banal.

Anthropic interdit l'accès public à Mythos parce que le modèle pourrait être dangereux. Anthropic publie des rapports d'alignement de 40 pages. Anthropic a inventé le terme "AI Safety Level" pour classifier les risques de ses propres modèles. Anthropic est, dans le discours public, l'entreprise qui prend la sécurité de l'IA plus au sérieux que quiconque.
Le 10 mai 2026, on apprend que le domaine claude.ai sert de vecteur de distribution de malware.

Ce qui s'est passé
Des attaquants ont exploité une fonctionnalité native de Claude.ai : les chats partagés. N'importe qui peut créer une conversation sur la plateforme et la rendre accessible au public via un lien. Ce lien est hébergé sous le domaine claude.ai.
Les attaquants ont créé un chat partagé intitulé "Claude Code on Mac", attribué à "Apple Support". Le contenu ressemble à un guide d'installation officiel. Il demande à l'utilisateur d'ouvrir le Terminal de son Mac et de coller une commande. Cette commande, encodée en base64, télécharge et exécute silencieusement un script malveillant.
Pour amener les victimes sur cette page, les attaquants ont acheté des publicités Google ciblant des requêtes comme "Claude mac download". Le résultat sponsorisé affiche claude.ai comme domaine de destination. L'URL est authentique. Il n'y a rien à repérer.
Le malware, une variante de l'infostealer MacSync, s'exécute intégralement en mémoire pour ne laisser aucune trace sur le disque. Le payload change à chaque téléchargement pour contourner les signatures antivirus. Avant de s'activer, le script vérifie la disposition clavier : il s'arrête s'il détecte un clavier russe ou issu d'un pays de la CEI, une signature classique d'opérations cybercriminelles est-européennes qui évitent de cibler leurs propres juridictions. Une fois actif, il récupère les identifiants des navigateurs, les cookies et le contenu du Keychain macOS. Deux variantes distinctes ont été identifiées par le chercheur Berk Albayrak et par BleepingComputer, utilisant des infrastructures différentes mais la même chaîne d'attaque.
L'attaque ne repose sur aucune vulnérabilité technique dans Claude.ai. Elle repose sur le fait que le domaine héberge du contenu public non modéré, et que ce contenu est suffisamment crédible pour que l'utilisateur exécute lui-même le code malveillant.

L'ironie n'est pas anecdotique. Elle est structurelle.
Il y a quelque chose de profondément révélateur dans le fait qu'une entreprise qui refuse de rendre public un modèle "trop dangereux" héberge, sur son propre domaine, du contenu qui distribue activement des malwares. Ce n'est pas une contradiction marginale. C'est l'illustration parfaite d'un pattern que j'observe depuis des années dans l'industrie : on investit massivement dans les risques spectaculaires et on néglige les fondamentaux.
Anthropic n'est pas seul. Des campagnes similaires ont exploité ChatGPT et Grok. Le schéma est le même : les éditeurs d'IA construisent des fonctionnalités de partage, de collaboration, d'accès public, sans traiter ces fonctionnalités comme des surfaces d'attaque. Parce que dans leur modèle mental, le risque est dans le modèle. Pas dans la plateforme. Pas dans l'infrastructure. Pas dans le fait que n'importe qui peut publier du contenu sous leur domaine avec un titre qui dit "Apple Support".
C'est exactement le même aveuglement que celui des entreprises qui investissent des millions dans la détection d'intrusion et laissent un compte de service avec des droits administrateur et un mot de passe par défaut sur un serveur exposé à Internet. Le risque glamour absorbe toute l'attention. Le risque banal fait les dégâts.
Google Ads : le vecteur que personne ne ferme
L'autre acteur dans cette histoire, c'est Google. Et ici, le constat est encore plus accablant, parce qu'il n'est pas nouveau.
Le malvertising via Google Ads est documenté depuis des années. Les résultats sponsorisés apparaissent au-dessus des résultats organiques. Ils affichent le domaine de destination en clair. Quand un attaquant pointe une publicité vers un domaine légitime dont il exploite une fonctionnalité ouverte, la distinction entre annonce légitime et vecteur d'attaque disparaît complètement. Google le sait. Google a les moyens techniques de détecter que la page de destination d'une annonce contient des instructions demandant d'exécuter des commandes dans un terminal. Google ne le fait pas.
En 2026, Google Ads reste l'un des vecteurs de distribution de malware les plus efficaces au monde. C'est un constat tellement répété qu'il a cessé de choquer. Il devrait choquer.

Le vrai problème : la confiance comme produit
Ce qui rend cette attaque efficace n'est ni le malware (un infostealer polymorphique classique), ni la technique (du social engineering élémentaire). C'est le fait que les éditeurs d'IA vendent de la confiance. Leur marque, leur domaine, leur interface sont des signaux de crédibilité. Quand un utilisateur voit claude.ai dans la barre d'adresse, il ne se pose plus la question de savoir si le contenu est fiable. Il a déjà répondu.
Les attaquants l'ont compris avant les éditeurs. Pourquoi construire un faux site quand on peut utiliser le vrai ? Pourquoi fabriquer de la crédibilité quand on peut l'emprunter ? La fonctionnalité de chats partagés est une invitation ouverte. Pas besoin de compromettre quoi que ce soit. Il suffit de publier.
La réponse des plateformes devra être à la hauteur du problème : modération des chats partagés, détection automatique de contenu contenant des commandes terminal, restriction de la visibilité publique, avertissements explicites. Rien de tout ça n'est révolutionnaire. Rien de tout ça n'a été fait.
Le paradoxe de la sécurité de l'IA en 2026
On rédige des rapports sur les risques existentiels de l'IA. On débat de l'alignement des modèles. On classe les systèmes par niveaux de sécurité. On refuse l'accès public à des modèles jugés trop puissants. Et on laisse son propre domaine servir de page de phishing parce qu'on n'a pas prévu qu'un chat partagé pouvait être utilisé par quelqu'un d'autre qu'un utilisateur bienveillant.
C'est un résumé assez fidèle de l'état de la cybersécurité en général. On anticipe le Black Swan. On ignore le pigeon sur le rebord de la fenêtre. On modélise des scénarios catastrophe à dix ans. On ne vérifie pas ce qui se passe sur sa propre plateforme aujourd'hui.
Anthropic va corriger le problème. Google va finir par modérer les annonces les plus flagrantes. Jusqu'à la prochaine fonctionnalité de partage, sur la prochaine plateforme, avec le prochain domaine de confiance.
La règle reste la même qu'elle a toujours été : ne téléchargez jamais un logiciel depuis une publicité Google. Et ne collez jamais une commande dans un terminal si vous ne comprenez pas ce qu'elle fait. Même si l'URL est la bonne. Surtout si l'URL est la bonne.
Questions fréquentes
En quoi consiste l'attaque via les chats partagés de Claude.ai ?
Les attaquants créent une conversation publique intitulée « Claude Code on Mac » attribuée à « Apple Support », hébergée sous le domaine claude.ai. Elle demande de coller dans le Terminal une commande encodée en base64 qui télécharge et exécute un script malveillant.
Y a-t-il une vulnérabilité technique dans Claude.ai ?
Non. L'attaque ne repose sur aucune faille de Claude.ai, mais sur le fait que le domaine héberge du contenu public non modéré, suffisamment crédible pour que l'utilisateur exécute lui-même le code.
Quel rôle joue Google Ads ?
Les attaquants achètent des annonces ciblant des requêtes comme « Claude mac download ». Le résultat sponsorisé affiche claude.ai comme domaine de destination : l'URL est authentique, ce qui supprime tout signal d'alerte pour la victime.
Que fait le malware une fois exécuté ?
C'est une variante de l'infostealer MacSync qui s'exécute en mémoire pour ne rien laisser sur le disque, change de payload à chaque téléchargement pour contourner les antivirus, et récupère les identifiants des navigateurs, les cookies et le contenu du Keychain macOS.
Comment s'en protéger ?
Ne téléchargez jamais un logiciel depuis une publicité Google, et ne collez jamais une commande dans un terminal sans comprendre ce qu'elle fait, même si l'URL semble légitime.
Sources & méthodologie
- BleepingComputer
- Berk Albayrak (chercheur en sécurité)

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
