Le rapport d’Anthropic est trop fragile pour être jugé fiable

 (djnn.sh)
1 points par GN⁺ 2025-11-17 | 2 commentaires | Partager sur WhatsApp
  • Le rapport sur des opérations de cyberespionnage fondées sur l’IA publié par Anthropic affirme avoir détecté une attaque d’un groupe de hackers soutenu par l’État chinois, mais il est critiqué pour son absence de base technique et d’informations vérifiables
  • Le rapport ne contient absolument aucun des éléments centraux d’un rapport classique de threat intelligence, comme des IoC (indicateurs de compromission), des TTP (tactiques, techniques et procédures), des informations sur les domaines, les hashs ou les outils d’attaque
  • Aucun jeu de données ni aucune preuve concrète n’est présenté sur le mode opératoire détaillé de l’attaque, les outils ou types de systèmes utilisés, ou l’ampleur des dégâts, ce qui en fait une affirmation invérifiable
  • En particulier, l’attribution de l’attaque à un groupe lié au gouvernement chinois est avancée sans fondement, ce qui constitue une annonce irresponsable ne tenant pas compte des retombées diplomatiques possibles
  • Dans l’ensemble, le rapport est considéré comme un document utilisé pour promouvoir les produits d’IA de l’entreprise sans preuves factuelles, ce qui souligne la nécessité de renforcer la transparence et les critères de vérification dans le secteur

Vue d’ensemble du rapport d’Anthropic

  • Anthropic, l’entreprise qui développe l’assistant IA Claude, a récemment publié un rapport affirmant avoir détecté une « opération de cyberespionnage pilotée par l’IA »
  • Selon ce rapport, vers septembre 2025, le groupe de hackers soutenu par l’État chinois GTG-1002 aurait mené des attaques contre environ 30 organisations, avec certaines intrusions qui auraient réussi
  • L’attaque aurait utilisé une instance de Claude Code pour mener de manière autonome des tests de pénétration et aurait automatisé 80 à 90 % des tâches tactiques

Absence de fondement technique

  • Le rapport ne publie aucun indicateur de compromission (IoC) habituellement fourni, comme des domaines, hashs, IP, e-mails de phishing ou outils utilisés
  • Sont également absents une analyse fondée sur le framework MITRE ATT&CK, la chronologie de l’attaque, des informations sur le tooling ou encore des recommandations de réponse
  • Comparé, par exemple, au rapport de la CERT française sur APT28, il est jugé en dessous des standards de l’industrie dans sa forme

Des affirmations impossibles à vérifier

  • Le chiffre selon lequel « l’IA a réalisé 80 à 90 % du travail tactique » dans le rapport est invérifiable
  • Il est affirmé que Claude a réalisé des extractions de certificats, des collectes d’identifiants et des requêtes sur des services internes, mais sans aucune mention de la méthode d’exécution concrète ni des outils utilisés (comme Mimikatz)
  • Il n’y a pas non plus d’explication sur les systèmes ou environnements compromis, ni sur la manière dont les données ont été traitées

Le problème de l’attribution

  • Le rapport attribue catégoriquement l’attaque à un groupe lié au gouvernement chinois, mais sans fournir le moindre fondement
  • On ne sait ni de quel groupe APT il s’agit, ni sur quelle analyse repose cette attribution
  • L’auteur critique cette attribution étatique sans preuve, qu’il juge diplomatiquement risquée et irresponsable

Conclusion et critiques

  • Le rapport semble avant tout orienté vers la promotion de sa propre solution de défense IA, sans véritable vérification des faits
  • Dans son dernier paragraphe, il recommande que « les équipes sécurité appliquent l’IA à la défense », ce qui laisse apparaître une intention de pousser à la vente de produits de sécurité IA
  • L’auteur qualifie cela de « comportement honteux et non professionnel » et appelle à renforcer les standards de vérification et la responsabilité éthique dans l’ensemble du secteur
  • Des affirmations sans fondement peuvent nuire à la crédibilité de la recherche en sécurité, d’où la nécessité de publier des preuves factuelles

À lire aussi

2 commentaires

 
xguru 2025-11-17

Le rapport d’Anthropic est trop léger pour être jugé fiable

Première opération de cyberespionnage pilotée par l’IA déjouée
 
GN⁺ 2025-11-17
Avis sur Hacker News

  • Autrefois, quand j’étais SRE/administrateur systèmes dans un labo de recherche en IA d’une entreprise FAANG, on m’a demandé de tester des modèles de base ajustés pour la sécurité de l’information
    Je les ai poussés à tenter de pirater une imprimante simulée ou une machine Linux, mais en pratique ils n’ont pas été d’une grande aide
    Je ne pense pas que ce genre de modèles soit très utile pour la coordination d’attaques. Surtout quand l’API est reliée à un compte bancaire, construire une structure de commande et de contrôle au-dessus d’un système exposé publiquement est un choix risqué

    • Je pense que ces contraintes comptent peu pour les cybercriminels. Ils paient souvent avec des clés API volées ou des comptes dérobés
      Les IA récentes sont bien meilleures qu’avant, et il suffit de contourner les filtres de sécurité pour qu’elles exécutent facilement des tâches liées à la sécurité
    • Je me demande si l’expression « géré par des labelers de données adolescents » vise Alexandr Wang. Wikipédia dit qu’il a 28 ans
    • Si des acteurs malveillants choisissent Claude, ce n’est probablement pas pour sa capacité à écrire du code d’attaque, mais parce que les organisations occidentales utilisent largement Claude
      Le modèle Sonnet a été entraîné sur des patterns de code occidentaux, ce qui l’aide à repérer les vulnérabilités dans des systèmes traitant des données de la même distribution
      Il est aussi plus simple d’y reproduire un ton de langage naturel pour des attaques de phishing
    • « Meta et ses labelers de données adolescents », ça me rappelle de vieux souvenirs
    • Même si l’API est liée à un compte bancaire, des services intermédiaires comme OpenRouter acceptent les paiements en cryptomonnaie

  • L’historique des corrections du blog Anthropic est intéressant
    Le 14 novembre 2025, « des milliers de requêtes par seconde » a été corrigé en « des milliers de requêtes, survenant plusieurs fois par seconde »

    • Se fonder sur l’expression « plusieurs requêtes par seconde » pour affirmer qu’il s’agissait d’un modèle autonome plutôt que d’un humain est étrange
      Un humain peut aussi exécuter plusieurs tâches par seconde via du code
    • J’ai du mal à croire qu’un technicien puisse confondre des unités comme ça

  • Les gens sous-estiment les APT (menaces persistantes avancées)
    Là où je travaillais, il y a eu une compromission de Gmail, avec une attaque composite combinant plusieurs zero-days et une campagne d’ingénierie sociale
    Au final, des traces pointaient vers un acteur étatique précis, et l’IA sert à accélérer l’efficacité de ce type d’attaques

    • En réalité, parmi les APT, il y a aussi beaucoup d’attaquants peu qualifiés. J’en ai vu exposer un serveur HTTP sans mot de passe et laisser tout le dossier racine accessible
      Ils jouent sur le volume, pas sur la qualité. C’est pour ça que je ne fais pas totalement confiance au rapport d’Anthropic
    • À écouter les « dernières nouvelles du matériel et des logiciels », on finit par avoir l’impression de s’abonner encore à un autre podcast tech
    • Je suis surpris qu’une seule attaque ait réellement utilisé plusieurs zero-days
    • Je veux juste vérifier qu’APT signifie bien Advanced Persistent Threat

  • Il existe un gros fossé de connaissances entre les chercheurs en infosec et les chercheurs en sécurité ML
    Anthropic a beaucoup des seconds, et pas assez des premiers
    L’article Attacker Moves Second traite aussi de cet écart
    Côté ML, on utilise l’ASR (Attack Success Rate) comme métrique, alors qu’en sécurité un seul succès est déjà grave
    Le ML part de tests statiques, la sécurité suppose des attaquants adaptatifs

    • Un chercheur ML n’est pas un expert en sécurité. Il faut les deux disciplines pour voir l’ensemble du tableau
      Le ML joue le rôle de blue team, les chercheurs en sécurité celui de red team

  • L’article entier m’a donné l’impression d’un texte marketing du genre « Claude est tellement puissant que des hackers chinois l’utilisent »

    • Ça ressemble à la vieille rumeur selon laquelle la PlayStation 2 était si puissante que l’Irak l’utilisait comme superordinateur
      Lien vers l’article connexe
    • Anthropic a peut-être tellement bien réussi Claude qu’ils se prennent désormais pour des experts en sécurité
      Du coup, on dirait que le rapport a été rédigé en dehors des standards du secteur
    • Mettre en avant la « menace chinoise » peut aider à s’attirer les bonnes grâces du gouvernement américain
      Ils ont peut-être réellement détecté une attaque, mais l’attribuer d’emblée à une organisation soutenue par le gouvernement chinois ressemble à du marketing exagéré
    • Faire la promotion d’un produit avec un message du type « notre produit est dangereux » est une stratégie rare en dehors de l’industrie de l’armement
      Cela dit, s’ils ne le publiaient pas, on pourrait aussi les accuser de le dissimuler, donc il peut aussi s’agir d’une communication à visée d’alerte

  • Le problème, c’est le manque de preuves pour affirmer que l’attaque venait d’un groupe soutenu par la Chine
    Ce genre de rapport ressemble à un message politique destiné à encourager l’investissement du gouvernement américain

    • Il est rare qu’un rapport public révèle jusqu’aux outils détaillés ou aux URL
      Ces éléments figureraient peut-être dans un rapport destiné au gouvernement, mais peuvent être omis dans un simple billet de blog
      En revanche, conclure que « manque de preuves » équivaut à « manipulation politique » me paraît excessif
      Le simple fait que l’IA puisse servir à ce type d’attaques constitue déjà un signal d’alerte suffisant
    • Anthropic suit depuis longtemps une ligne anti-chinoise
      Il est possible qu’ils aient délibérément mis en avant un incident contenant quelques IP chinoises
    • La bulle de l’IA va bientôt éclater, et on dirait que les entreprises essaient de se présenter comme une infrastructure de sécurité nationale pour obtenir un soutien public
    • Il y a une ironie à crier que « la Chine vole la technologie » tout en faisant soi-même de l’entraînement non autorisé sur des œuvres protégées

  • Je me demande si Anthropic a vraiment des experts en sécurité en interne
    C’est peut-être simplement une stratégie d’entreprise, mais il se peut aussi que leur structure manque réellement de compétences en sécurité

    • Je critique souvent leur manque de compétences en ingénierie. Une telle entreprise a très peu de chances d’avoir une architecture de sécurité solide
    • Avec trop peu de personnel sécurité, avancer sans preuves des affirmations comme « opération d’espionnage soutenue par le gouvernement chinois » est un comportement irresponsable
    • De toute façon, ils disposent sûrement du modèle lui-même entraîné à partir de ce genre de rapports, alors pourquoi ne pas être capables de faire l’analyse directement ?
    • Il existe aussi une vidéo de présentation montrant l’usage de l’IA pour résoudre des problèmes de sécurité
      Lien YouTube

  • Quiconque a déjà utilisé une IA d’assistance au code comme Claude ne sous-estime pas ses capacités
    Les affirmations du rapport me semblent donc tout à fait plausibles

    • Moi, je donne à Claude un accès SSH et je le laisse enquêter directement sur des problèmes réseau à l’intérieur du serveur
      Son analyse de tcpdump ou des tables de routage m’a été assez utile
      Il faut cependant connaître ses limites, savoir quand il dysfonctionne et pouvoir intervenir soi-même
    • Les messages du genre « moi je ne l’ai pas essayé, mais » sont fréquents sur HN
      Cette habitude qu’ont certains de parler en experts sans jamais avoir testé l’outil inspire peu confiance
    • Le problème du rapport n’est pas la possibilité de l’outil, mais l’absence de preuves
      La simple plausibilité ne suffit pas à faire un rapport digne de confiance
    • Anthropic n’a présenté qu’une simple plausibilité, sans base empirique, ce qui rend le document de faible qualité et ses motivations suspectes

  • Le rapport d’Anthropic m’a donné l’impression d’une publicité disant que notre technologie est si puissante qu’elle peut être détournée
    Comme une pub pour une arme qui dirait : « regardez à quel point cette arme est dangereuse »

  • En voyant le titre au début, j’ai cru qu’il s’agissait d’Anthropic, la société de papier, qui fabriquait un papier à l’odeur bizarre
    Et même après avoir tout lu, ça me semble toujours être du grand n’importe quoi