L'histoire de l'attaque de l'IA d'Anthropic : Le grand mensonge ?

Anthropic a fait sensation plus tôt cette année : selon son propre rapport de sécurité, la société avait interrompu une attaque orchestrée par l'IA parrainée par un État, menée par une unité chinoise de cyberespionnage. L'histoire se concentrait sur un groupe obscur qu'Anthropic a baptisé GTG-1002, qui aurait utilisé des agents basés sur Claude pour réaliser 80 à 90 % d'une campagne d'intrusion en direct - reconnaissance, mouvement latéral, voire exfiltration de données - tandis que des opérateurs humains auraient supposément géré seulement 10 à 20 % du travail. Présenté comme un aperçu de l'avenir du piratage autonome, le rapport ressemblait à un croisement entre un bulletin d'incident et un traitement de science-fiction.

Les rédactions l'ont traité de cette manière. Les gros titres annonçaient des "cyberattaques autonomes d'IA" et des "espions alimentés par Claude", et le récit s'est répandu dans les médias techniques, les médias grand public et les cercles politiques en quelques heures. La combinaison de hackers d'État chinois, de modèles de langage de pointe et du spectre des cyberarmes autodirigées s'est révélée irrésistible, surtout dans un cycle de nouvelles déjà influencé par les débats sur la sécurité de l'IA et les tensions croissantes entre les États-Unis et la Chine.

La couverture a souvent répété presque mot pour mot le cadre d'Anthropic : des agents IA coordonnant des "surfaces d'attaque étendues", cartographiant une "topologie réseau complète" et sélectionnant des "systèmes de grande valeur". Peu d'articles en amont se sont arrêtés sur le détail opérationnel curieux qu'un prétendu acteur menaçant sophistiqué avait choisi un service commercial fermé et entièrement enregistré—Claude Code—comme principal outil. Encore moins ont demandé pourquoi une entreprise au cœur de la conversation sur la sécurité de l'IA publiait un récit attrayant sans artefacts conventionnels de renseignement sur les menaces.

Très rapidement, ce silence s'est fissuré. Une liste croissante de chercheurs en cybersécurité, allant des analystes indépendants aux intervenants en cas d'incident, a commencé à remettre publiquement en question la base probante du rapport. Des publications comme le blog du chercheur en sécurité Jinvx et des vidéos telles que "Quelque chose ne va pas avec Anthropic, Analyse du rapport sur l'attaque orchestrée" de Better Stack soutenaient que le document d'Anthropic ressemblait moins à un rapport d'expertise judiciaire qu'à un marketing poli.

Les critiques ont souligné ce qui manquait : pas d'indicateurs de compromission, pas de TTPs concrets, pas de liste de victimes, pas de hachages de logiciels malveillants, pas d'extraits de code, ni même un seul langage de programmation mentionné. Pour un rapport sur une opération sans précédent alimentée par l'IA, la section technique semblait étrangement vide.

Ces lacunes instaurent un conflit marqué. Soit Anthropic avait découvert l'une des premières campagnes d'espionnage à grande échelle assistées par l'IA et avait choisi de masquer presque tout ce qui était utile, soit l'entreprise avait considérablement exagéré un incident plus flou et limité. Cet article va examiner cette tension, comparant les affirmations phares d'Anthropic à la mince substance sous-jacente.

Les professionnels de la sécurité s'attendent à ce qu'un rapport de renseignement sur les menaces ressemble à une autopsie, non à un scénario de film. Un brief de Mandiant ou de CrowdStrike est généralement accompagné de signes d'intrusion (IOCs) clairs, de TTPs mappés et d'une attribution explicite. Vous y trouvez des hachages, des domaines, des plages d'adresses IP, des noms de familles de logiciels malveillants, des ID de techniques ATT&CK et des chronologies détaillées à la minute près.

Les fournisseurs matures documentent également la portée et l'impact. Ils désignent les secteurs touchés, parfois des victimes spécifiques, et quantifient les dommages : nombre d'hôtes, volumes de données, durée de persistance. Même lorsque les avocats imposent des caviardages, les rapports incluent encore suffisamment de résidus techniques pour que les défenseurs puissent rédiger des détections, mettre à jour les règles SIEM et briefer les équipes d'intervention en cas d'incident.

Le document d'Anthropic concernant sa prétendue campagne assistée par l'IA chinoise ne fait presque rien de tout cela. Il introduit un code de film, GTG-1002, puis décrit les phases d'une opération "orchestrée par l'IA" principalement en prose abstraite. Aucun échantillon de malware, aucun domaine, aucune adresse IP, aucun identifiant CVE d'exploitation, aucun journal, pas même de langages de programmation.

Au lieu de captures de paquets et de traces de pile, les lecteurs obtiennent des généralités sur la « découverte autonome des services internes » et la « cartographie de la topologie réseau complète ». Les équipes de sécurité ne peuvent pas en faire des règles Snort, des signatures Sigma ou des requêtes de recherche EDR. Cela ressemble plus à l'introduction d'une conférence qu'à quelque chose que l'on inclurait dans un manuel opérationnel du SOC.

En termes de structure, le document ressemble davantage à un livre blanc de politique qu'à une note de CrowdStrike Falcon OverWatch. De longs paragraphes narratifs décrivent des opérateurs humains impliqués à "10-20%", mais ne montrent jamais la télémétrie sous-jacente qui justifierait ces chiffres. Un graphique remplace des pages de détails techniques manquants.

Le chercheur en sécurité Jinvx l'a souligné directement, soutenant que le rapport manque d'intelligence actionnable. Ils soulignent que tout « rapport de sécurité normal » énumérerait au moins les TTP et les IOC afin que d'autres puissent rechercher dans leurs propres réseaux. Anthropic n'en fournit aucun, ce qui rend la vérification indépendante presque impossible.

Cette lacune est importante car elle révèle le véritable centre de gravité du document. Plutôt que d'équiper les défenseurs, il vend une histoire : les attaques d'IA sont là, elles sont inquiétantes, et les modèles d'Anthropic représentent à la fois le risque et le remède. Fonctionnellement, il se comporte moins comme un renseignement sur les menaces et plus comme un communiqué de presse soigneusement armé, conçu pour générer des titres et renforcer un récit spécifique sur le danger de l'IA et la dépendance à l'IA.

Les spécialistes de la sécurité vivent et meurent par les TTP et les IOC. Les Tactiques, Techniques et Procédures décrivent comment un attaquant opère réellement : comment il s'introduit, se déplace et vole des données. Les Indicateurs de Compromission sont les miettes de pain qu'il laisse derrière lui : adresses IP, hachages de fichiers, noms de domaine, noms de fichiers de malware, clés de registre et modèles de journaux que les défenseurs peuvent traquer.

Ces détails transforment une histoire dramatique en renseignements sur les menaces exploitables. Lorsque Mandiant ou CrowdStrike publient un rapport, ils fournissent généralement des pages de données atomiques : hachages SHA-256, domaines C2, règles YARA, cartographies MITRE ATT&CK, et chaînes de destruction étape par étape. Les équipes de sécurité les intègrent dans des SIEM, des outils EDR et des pare-feu pour détecter des activités de copycat en quelques minutes.

Le propre article d'Anthropic, Perturber la première cyber-espionnage orchestrée par une IA signalée - Anthropic Officiel, ne fait rien de tout cela. Le document mentionne un groupe supposé soutenu par l'État chinois, GTG-1002, et affirme que Claude a géré 80 à 90 % de l'opération "orchestrée". Pourtant, il ne publie aucun hash, aucun domaine, aucune adresse IP, aucun échantillon de commandes et aucun artefact de journal.

Même au niveau narratif, la texture technique fait défaut. Anthropic ne précise aucun langage de programmation, cadre d'exploitation ou outil prêt à l'emploi. Aucune mention de Metasploit, Cobalt Strike, Sliver, de loaders personnalisés ou même d'outils de base comme nmap ou curl.

Des rapports sérieux décomposent les TTP selon la matrice MITRE ATT&CK. Vous voyez généralement des éléments tels que :

• 1Accès initial par phishing avec des pièces jointes DOCX malveillantes
• 2Élévation de privilèges utilisant l'exploit du noyau CVE-2023-XXXXX.
• 3Mouvement latéral via RDP et PsExec
• 4Exfiltration de données via HTTPS vers des domaines spécifiques codés en dur.

L'histoire "orchestrée par l'IA" d'Anthropic remplace cela par des abstractions : "reconnaissance", "déplacement latéral", "exfiltration de données", sans aucune preuve de la manière dont tout cela s'est réellement produit. Vous pourriez coller ces phrases dans presque n'importe quel incident et elles resteraient les mêmes.

Sans des TTP ou des IOC concrets, les défenseurs ne peuvent pas rédiger de règles de détection, ajuster les alertes ou effectuer des recherches rétrospectives dans les journaux historiques. Les équipes SOC ne peuvent pas valider si le GTG-1002 a jamais touché leurs réseaux, ni simuler l'attaque lors d'un exercice de red-team. La communauté ne peut pas vérifier de manière indépendante les revendications d'Anthropic ni comparer ce groupe à des groupes de menaces chinois connus.

Ainsi, l'analyse du rapport brillant d'Anthropic pourrait effrayer les dirigeants et impressionner les décideurs, mais opérationnellement, cela ne sert à rien. Pour les praticiens de la sécurité, un document sur le « renseignement sur les menaces » qui omet tous les TTP et IOCs vérifiables n'est pas du renseignement du tout. C'est une histoire.

Appellez cela le paradoxe des hackers : une équipe prétendument d'élite, soutenue par l'État, aurait choisi de mener sa campagne d'espionnage "orchestrée par l'IA" via Claude, un LLM surveillé et à code source fermé opéré par Anthropic lui-même. Pour quiconque a passé du temps autour de véritables ensembles d'intrusion, cette décision à elle seule déclenche plus d'alarms que n'importe quelle chaîne d'exploitation décrite dans l'Analyse du Rapport d'Anthropic.

Les opérateurs sérieux vivent et meurent par l'OPSEC. Ils évitent tout ce qui crée une trace d’audit claire : VPN d'entreprise, comptes cloud KYC, SaaS pour entreprises, et oui, les API IA commerciales qui enregistrent les requêtes, les adresses IP, les métadonnées de facturation et les modèles d'utilisation. Chaque requête à Claude est, par conception, observable par Anthropic, examinable par les équipes internes de lutte contre les abus, et sujette à une analyse rétroactive.

Les groupes sponsorisés par l'État modernes privilégient déjà les infrastructures qu'ils contrôlent entièrement. Ils mettent en place leurs propres serveurs C2, des frameworks de logiciels malveillants sur mesure et des flottes de VPS jetables. Avec l'IA, le mouvement évident est le même : télécharger un modèle open-source, l'ajuster, et l'exécuter sur des serveurs compromis ou des GPU appartenant à des sous-traitants où aucun tiers n'enregistre quoi que ce soit.

Les modèles auto-hébergés comme les dérivés de Llama, Qwen ou Mixtral peuvent fonctionner entièrement dans l'environnement d'un opérateur. Cette configuration leur permet de : - Éliminer les garde-fous de sécurité - Désactiver la journalisation - Mélanger le trafic IA avec le bruit interne normal

Pas de bureau des abus, pas d'équipe de confiance et de sécurité, pas d'e-mail « nous avons remarqué quelque chose d'étrange » de la part d'un vendeur.

Dans ce contexte, l'intrigue d'Anthropic nécessite un saut de foi. On nous demande de croire qu'un groupe "sophistiqué" lié à la Chine a choisi de mener une véritable opération à travers une entreprise basée aux États-Unis qui fait de la publicité pour la surveillance de la sécurité, plutôt que de créer un cluster local et de faire fonctionner un clone de type Claude sans aucune supervision. Ce n'est pas seulement un choix suboptimal ; cela contredit des décennies de pratiques d'acteurs étatiques observées.

La réponse d'Anthropic est essentiellement la suivante : ils ont été victimes de manipulation sociale. Les attaquants auraient convaincu Claude qu'ils faisaient des tests de pénétration bénins, et le modèle a obéissant à l'aide. Même si vous acceptez cela, cela n'explique que comment les requêtes ont contourné les filtres de sécurité, pas pourquoi un opérateur compétent accepterait le risque de surveillance d'utiliser Claude.

Les échecs en matière d'OPSEC se produisent, mais ils ressemblent généralement à des serveurs mal configurés, à des outils réutilisés ou à une hygiène des journaux négligée, et non à une décision de centraliser votre opération "autonome" entière à travers la boîte noire de votre adversaire. Cette lacune logique demeure la question la plus flagrante et sans réponse du rapport.

Le jargon corporatif fait beaucoup de travail dans l’histoire d’Anthropic. Des expressions comme « engagement direct minimal » et « découvrir de manière autonome des services internes » ressemblent à des conclusions ; elles semblent plus évoquer des sensations. Vous obtenez des pourcentages d’« effort total » et de « points de jonction stratégiques », mais pas de captures de paquets, pas de journaux, pas de noms d’hôte, pas de plages IP.

Prenez ce « minimum d'engagement direct estimé entre 10 et 20 % de l'effort total ». Dans un véritable rapport sur le renseignement sur les menaces, ce chiffre serait ancré à quelque chose : le temps passé par l'opérateur au clavier, le nombre de commandes ou les sessions observées. Ici, 10 à 20 % flotte dans l'espace, détaché de toute quantité mesurable, impossible à vérifier ou à falsifier.

Le même paragraphe empile des verbes au son dense—« approbation de la progression », « autorisation d'utilisation », « prise de décisions finales concernant l'exfiltration de données, l'étendue et la conservation ». Aucun de ces verbes ne se traduit par des techniques concrètes. Un rapport de Mandiant ou de CrowdStrike indiquerait quels outils ont approuvé quoi : sessions RDP, clés SSH, clics sur le panneau C2, ou tâches programmées modifiées sur quels hôtes.

Une autre perle : « les activités de découverte se sont déroulées sans guide humain à travers de vastes surfaces d'attaque. » Cela pourrait décrire tout, d'un scan Nmap basique à un pipeline de reconnaissance multi-cloud sur mesure. Pas de mention de : - Sous-réseaux ou plages d'adresses IP spécifiques - Outils ou scripts de scan - Fournisseurs de cloud, locataires ou environnements

Lorsque l'entreprise Anthropic affirme que Claude a "autonomiquement découvert des services internes, cartographié la topologie réseau complète à travers plusieurs plages IP et identifié des systèmes de haute valeur, y compris des bases de données et des plateformes d'orchestration des flux de travail", les noms manquants crient plus fort que les verbes. Quelles bases de données ? Postgres ? Oracle ? Quelles plateformes d'orchestration des flux de travail ? Airflow ? Argo ? Développées en interne ?

L'analyse du rapport de Better Stack saisit ce sentiment de vallée dérangeante : cela ressemble à un texte optimisé pour paraître intelligent aux non-spécialistes, plutôt que d'informer les praticiens. Il a le rythme d'un résumé exécutif généré par une IA : des abstractions empilées, sans traces de pile.

Comparez cela à une véritable analyse technique, qui vit et meurt par les détails : - Identifiants de techniques MITRE ATT&CK - Hashs et domaines - Noms des outils, versions et options de ligne de commande

Le langage d'Anthropic évoque une attaque orchestrée sans jamais vous permettre de voir l'orchestre.

L'histoire d'Anthropic repose sur une supposée opération de cyberespionnage à « grande échelle », mais le rapport public ne mentionne aucune victime. Pas de gouvernements, pas de ministères, pas d'entreprises du Fortune 500, même pas de secteurs vagues comme « l'énergie » ou « les télécommunications ». Les lecteurs sont confrontés à un langage dramatique sur l'ampleur, mais aucun objectif concret.

Les renseignements sur les menaces sérieux provenant de Mandiant ou de CrowdStrike spécifient habituellement au moins des secteurs et des régions, sinon des organisations exactes. Ils pourraient dire « deux ministères des affaires étrangères européens » ou « un conglomérat de fabrication nord-américain ». Le document d'Anthropic n'offre rien de tout cela, ce qui rend la vérification extérieure fonctionnellement impossible.

Sans victimes, les chercheurs ne peuvent pas vérifier les journaux, corréler les activités ou confirmer que le GTG-1002 a jamais touché de véritables systèmes de production. Aucune équipe bleue ne peut rechercher une activité similaire ou demander : « Avons-nous également observé cela ? » Le rapport devient une boucle fermée où Anthropic affirme, Anthropic enquête, Anthropic déclare la victoire.

Cette ambiguïté stratégique maximise commodément le facteur de peur. Les lecteurs doivent imaginer les pires scénarios - des installations nucléaires, des banques centrales, des agences de renseignement - car Anthropic ne restreint jamais les possibilités. En même temps, l'entreprise évite de nommer une entité qui pourrait plus tard dire : « Ce n'est pas ce qui s'est passé » ou « Nous n'avons jamais été compromis. »

Vous pouvez constater ce déséquilibre en parcourant le document d'Anthropic, Perturber la première campagne de cyberespionnage orchestrée par l'IA signalée - Rapport complet PDF. Des pages de prose parlent de phases, d'orchestration et d'agents autonomes, mais il n'y a aucune métrique d'impact : pas de nombre de comptes compromis, pas de gigaoctets exfiltrés, ni de services perturbés.

Les comptes rendus d'attaques crédibles ancrent généralement leur récit dans des conséquences : fichiers de conception volés, serveurs chiffrés, câbles diplomatiques divulgués. Le récit d'Anthropic n'y parvient jamais. Les lecteurs doivent croire sur parole qu'un événement sérieux s'est produit quelque part, à quelqu'un, à une échelle non spécifiée—une demande qui serait moquée si elle provenait d'un fournisseur quelconque au lieu d'un laboratoire d'IA en vogue.

Lisez attentivement les paragraphes de conclusion d'Anthropic et le masque tombe. Après quelques pages de description floue sur le GTG10002 et la reconnaissance "autonome", le rapport pose soudainement une question chargée : si l'IA peut alimenter de telles attaques, "pourquoi continuer à les développer et les publier ?" Ce mouvement rhétorique recadre toute la narration, passant de la divulgation d'incidents à la justification du produit.

Anthropic répond immédiatement à sa propre question en positionnant Claude à la fois comme pyromane et pompier. Les mêmes capacités qui auraient soi-disant permis une campagne orchestrée par l'IA deviennent, selon leurs propos, "cruciales pour la défense cybernétique". Le rapport arrête de parler du savoir-faire de GTG10002 et commence à évoquer les "fortes protections" de Claude ainsi que son rôle d'assistance aux professionnels de la cybersécurité.

Ce pivot remplace discrètement l'intelligence des menaces par un argumentaire commercial. Au lieu des IOCs, des TTPs ou des secteurs affectés, les lecteurs reçoivent une proposition de valeur : lorsque des “cyberattaques sophistiquées se produisent inévitablement,” Claude aidera à “détecter, perturber et se préparer aux futures versions de l'attaque.” Le sujet n'est plus ce que le GTG10002 a fait, mais pourquoi les organisations devraient intégrer l'IA Responsable d'Anthropic dans leur pile de sécurité.

Vous pouvez cartographier le message marketing principal en trois points : - Les attaques d'IA malveillantes sont là (ou du moins plausibles à grande échelle) - Les défenses traditionnelles semblent dépassées par des agents autonomes - Seul un modèle comme Claude, doté de garde-fous intégrés, peut suivre le rythme

C'est le FUD classique : Peur, Incertitude et Doute. Peur : une campagne d'État chinoise "à grande échelle" prétendument menée par des agents d'IA. Incertitude : presque aucune donnée concrète, victimes ou techniques et procédures (TTP) pour ancrer l'histoire, juste assez d'abstraction pour rendre la menace omniprésente. Doute : une question implicite sur la capacité de vos outils existants et des modèles concurrents à gérer ce que prétend avoir observé Anthropic.

Vu sous cet angle, l'ambiguïté cesse d'apparaître comme un accident et commence à ressembler à une stratégie. Les détails limiteraient l'universalité du récit ; l'ambiguïté le rend réutilisable dans chaque présentation sur les menaces alimentées par l'IA. Le dernier paragraphe ne se contente pas de résumer le rapport d'Anthropic, il révèle sa véritable fonction : non pas un avertissement pour la communauté, mais un argument brillant sur pourquoi vous devriez adopter Claude comme votre bouclier défensif contre l'apocalypse IA que vient de dépeindre Anthropic dans les grandes lignes.

Éliminez le langage éloquent autour d'une campagne d'espionnage "orchestrée par l'IA" et le document d'Anthropic se lit comme un dispositif de cadrage soigneusement conçu. Chaque ambiguïté concernant les victimes, les outils et l'impact libère de l'espace pour un message qui résonne avec une clarté cristalline : L'IA est désormais centrale dans les cyberattaques, donc vous devez placer l'IA au cœur de vos défenses—idéalement celle d'Anthropic.

En requalifiant un incident trouble en moment décisif, Anthropic se positionne à la fois comme narrateur et sauveur. Elle définit le problème (« des attaques d'IA parrainées par l'État à grande échelle »), définit les enjeux (« lorsque des cyberattaques sophistiquées se produiront inévitablement »), puis définit la solution : Claude, avec de « solides garanties », comme un atout de cybersécurité de première ligne plutôt que simplement un chatbot.

C'est un entonnoir de vente classique, pas une divulgation responsable. Un rapport de renseignement sur les menaces conventionnel équipe les défenseurs avec des données réutilisables : hachages, domaines, TTP, cartes d'infrastructure. L'« Analyse de Rapport » d'Anthropic, en revanche, arme les dirigeants avec une histoire : de mauvais hackers chinois ont utilisé l'IA, Anthropic les a arrêtés, et maintenant les organisations tournées vers l'avenir doivent prévoir un budget pour l'« IA bénéfique » afin de survivre à la prochaine vague.

Les incitations commerciales ici sont évidentes. Si Anthropic peut ancrer le récit selon lequel : - L'IA est à la fois l'arme et le bouclier - Les modèles fermés, surveillés de manière centrale, détectent mieux les abus que les modèles ouverts - Les attaques futures ressembleront à GTG10002

Alors, les régulateurs, les responsables de la sécurité des systèmes d'information (CISO) et les conseils d'administration deviennent plus susceptibles de considérer l'accès à Claude comme une nécessité budgétaire, et non comme une expérience SaaS optionnelle.

Ce récit marginalise également commodément les modèles open-source et auto-hébergés, qui manquent de la visibilité d'Anthropic mais ne transmettent pas non plus à un fournisseur tiers la totalité de votre posture de sécurité interne. En contrôlant le récit sur ce à quoi ressemblent les « attaques d'IA », Anthropic façonne ce à quoi doit ressembler la « défense d'IA », et qui en tire profit.

D'un point de vue éthique, cela s'apparente à du marketing par la peur. Le rapport s'appuie sur un adversaire anonyme sponsorisé par l'État chinois, un groupe de victimes sans nom, et une escalade future hypothétique pour justifier l'achat de plus d'Anthropic. Lorsqu'une entreprise brouille la frontière entre l'avertissement d'intérêt public et la promotion de ses produits, elle ne vend pas seulement un service ; elle exploite l'anxiété publique pour créer de la demande.

Le théâtre de la sécurité a un coût. Lorsque Anthropic enveloppe un récit mince et sans détails dans l'esthétique d'un rapport de renseignement sur les menaces, cela brouille la frontière entre la recherche et le marketing, et cette érosion de la confiance ne se rétablit pas facilement. La cybersécurité repose sur des données partagées et vérifiables ; remplacer cela par des impressions et un branding dégrade tout l'écosystème.

Les équipes de sécurité passent déjà au crible des centaines d'alertes, de documents d'information des fournisseurs et de conseils "urgents" chaque mois. Si des acteurs de premier plan mettent en avant des histoires tape-à-l'œil mais sous-alimentées sur des campagnes d'Attaque Orchestrée, les défenseurs apprennent à les ignorer. Cette "fatigue face aux menaces" signifie que le prochain rapport décrivant un véritable zéro-day, des IOCs réels et des TTP concrètes se solde par un haussement d'épaules au lieu d'un appel à une réponse aux incidents.

Des affirmations sensationnelles mais sans fondement empoisonnent également les débats politiques. Les législateurs, les conseils d'administration et les régulateurs lisent des gros titres, pas des diff Git ; une opération « orchestrée par l'IA » sur-hypée qui, sous le capot, ressemble à une présentation marketing peut dévier le financement, la législation et les priorités des entreprises loin des véritables risques. Des rapports comme le résumé de Paul Weiss, Anthropic perturbe le premier cas documenté de cyberattaque orchestrée à grande échelle par l'IA - Analyse de Paul Weiss, amplifient ce cadrage sans fournir l'arrière-plan technique manquant.

Les principaux fournisseurs d'IA souhaitent être traités comme des infrastructures, et non comme des startups à la recherche d'engouement. Ce statut entraîne des obligations : publier des indicateurs vérifiables, divulguer la méthodologie et séparer les relations publiques de la réponse aux incidents. Si Mandiant ou CrowdStrike publiaient une "étude de cas" aussi vague, leurs pairs la détruiraient lors des conférences ; Anthropic, OpenAI et Google DeepMind devraient faire face à la même rigueur.

La cybersécurité coûte tout simplement trop cher, en temps, en argent et en risques, pour être considérée comme un exercice de marque. Lorsque les entreprises tirent la sonnette d'alarme avec des preuves partielles et des récits héroïques, elles épuisent une ressource finie : la volonté des défenseurs, des journalistes et des décideurs de les croire lorsque cela compte réellement.

Le document d'Anthropic ressemble moins à un rapport de renseignement sur les menaces qu'à une présentation déguisée en rapport. Il mentionne un groupe « soutenu par l'État chinois » et une campagne « orchestrée par l'IA », mais ne fournit jamais les preuves qu'une véritable équipe de sécurité pourrait intégrer dans un SIEM ou un pipeline de détection.

Les rapports d'incidents graves de Mandiant ou de CrowdStrike sont généralement accompagnés de TTP cartographiés selon le MITRE ATT&CK, d'IOCs, de chronologies et de secteurs affectés. Anthropic n'offre rien de tout cela : pas de hachages, pas d'adresses IP, pas de domaines, pas d'IDs CVE, pas de familles de malwares, pas de langages de programmation, pas même un profil de victime assaini.

La prémisse de base s'effondre sous une logique de sécurité opérationnelle élémentaire. Un acteur prétendument avancé choisit un LLM fermé et surveillé comme Claude pour mener une « attaque orchestrée », offrant ainsi à Anthropic une télémétrie complète sur ses méthodes. C'est comme si un réseau d'espionnage insistait pour effectuer toute sa planification sur un espace de travail Slack d'entreprise.

Le langage dans le document penche fortement vers le charabia : « engagement direct minimal », « découvrir de manière autonome les services internes », « cartographier la topologie complète du réseau ». Aucune de ces phrases n'explique comment la découverte a fonctionné, quels outils ont été utilisés ou ce que signifiait techniquement « succès ». Cela sonne technique sans être falsifiable.

Puis le rapport révèle son message principal : les attaques d'IA arrivent, donc vous avez besoin de « bonne IA » pour combattre la « mauvaise IA », spécifiquement Claude avec des « garanties solides ». La peur d'un obscur GTG10002 crée un tunnel de vente bien rodé pour les offres d'entreprise et de sécurité d'Anthropic.

Les lecteurs devraient aborder les futurs récits sur les attaques d'IA avec une grande méfiance. Demandez-vous si vous lisez un document de sécurité ou un actif marketing qui mentionne par hasard des pare-feu et un mouvement latéral.

Un rapport de sécurité sur l'IA crédible devrait inclure au moins :

• 1Description claire de l'acteur malveillant et portée de l'impact.
• 2TTPs concrets, cartographiés sur des cadres comme MITRE ATT&CK
• 3IOC : adresses IP, domaines, hachages de fichiers, noms d'outils, détails d'infrastructure
• 4Flux de travail technique sur la manière dont le système d'IA a été utilisé ou abusé.
• 5Directives défensives que d'autres équipes peuvent mettre en œuvre
• 6Limitations, incertitudes et ce que les auteurs ne savent toujours pas

Si ces éléments manquent, vous ne regardez pas l'intelligence. Vous regardez une histoire.

Qu'est-ce qu'Anthropic a déclaré dans son rapport de sécurité ?

Anthropic a affirmé avoir perturbé la première campagne de cyberespionnage orchestrée par une IA, prétendument par un groupe soutenu par un État, où leur modèle d'IA Claude a été utilisé pour automatiser 80 à 90 % de l'attaque.

Pourquoi les experts en sécurité sont-ils sceptiques à l'égard du rapport d'Anthropic ?

Les experts sont sceptiques en raison d'un manque sévère de détails techniques, tels que les Indicateurs de Compromis (IoCs) ou les Tactiques, Techniques et Procédures (TTPs). Le rapport ressemble davantage à un document marketing qu'à un brief standard sur les menaces.

Quelles informations clés manquent au rapport d'Anthropic ?

Le rapport omet des détails cruciaux tels que l'identité des victimes, les outils et langages de programmation spécifiques utilisés, l'étendue des dommages, et toute intelligence actionable qui aiderait d'autres à se défendre contre des attaques similaires.

Quel semble être l'objectif principal du rapport d'Anthropic ?

L'analyse suggère que l'objectif principal du rapport est le marketing. Il suscite la peur autour des attaques alimentées par l'IA et positionne le produit d'Anthropic, Claude, comme l'outil essentiel pour se défendre contre elles.