Un chercheur a détourné les capacités de navigation web de Claude pour lui faire recracher, lettre par lettre, les secrets stockés dans sa mémoire. Anthropic a depuis corrigé le tir.

C’est une fourberie dénichée par le chercheur en sécurité Ayush Paul, et elle touche l’un des points les plus sensibles de Claude.ai : sa mémoire.

Cette fonctionnalité, activée par défaut sur les comptes individuels, conserve des bribes de vos conversations passées, votre nom, votre employeur, vos projets, parfois des détails bien plus personnels, pour que l’assistant n’ait pas besoin de tout redemander à chaque échange. Un confort qui, selon le chercheur, transforme aussi Claude en une base de données extrêmement précieuse sur des millions d’utilisateurs :

« Les gens leur confient tout », alerte le chercheur, « des éléments professionnels confidentiels aux secrets personnels en passant par les problèmes relationnels. Avec le temps, cet historique de conversations devient une reconstitution haute-fidélité de vous-même, qui pourrait servir au chantage, à l’usurpation d’identité ou au contournement des questions de sécurité. »

Dans une étude publiée le 9 juillet 2026, Ayush Paul détaille ce qui lui a permis de faire fuiter la mémoire de Claude sans même pirater l’utilisateur.

Le piège repose sur un site web faisant office de clavier // Source : ayush.digital
Le piège repose sur un site web faisant office de clavier. // Source : ayush.digital

Un clavier fabriqué à partir de liens

Pour comprendre l’astuce, il faut d’abord savoir que Claude peut consulter des pages web grâce à un outil appelé web_fetch. Une commande sensible, à laquelle Anthropic avait déjà imposé des garde-fous. Impossible par exemple pour Claude de coller une donnée volée à une adresse préfabriquée, comme site-pirate.com/nom-de-la-victime.

Mais le chercheur a trouvé une parade. Une fois sur une page, Claude a le droit de cliquer sur les liens qui s’y trouvent, comme le ferait un internaute. Il a donc construit un site un peu particulier, qui fait office de clavier géant : sur la page d’accueil, 26 liens, un par lettre de l’alphabet (A, B, C… jusqu’à Z). En cliquant sur « A », on arrive sur une nouvelle page qui propose à son tour 26 liens : AA, AB, AC… et ainsi de suite, lettre après lettre.

Restait à habiller ce clavier en piège crédible. Le chercheur a présenté son site comme celui d’un café du coin, un site qu’une IA aurait pu visiter sans se douter de rien. Et c’est là qu’intervient le mécanisme des liens. Dès qu’elle explore le site, l’IA se met, sans le savoir, à épeler des données grâce à ces clics en cascade, sans qu’aucune requête suspecte ne soit jamais envoyée.

La clé qui déclenche cette fuite est un faux écran de vérification imitant ceux de Cloudflare. Ce portail piégé n’apparaît que lorsque le visiteur est une IA, il lui explique qu’elle doit, avant d’accéder au site, confirmer l’identité de son utilisateur en épelant lettre par lettre son nom, puis son employeur, puis sa ville natale. Un visiteur humain, à la même adresse, ne serait jamais tombé sur cet écran et aurait simplement vu un banal site de café.

Claude a joué le jeu sans hésiter, épelant patiemment chaque information demandée grâce aux liens du faux site, sans jamais prévenir l’utilisateur de ce qu’il venait de faire. Le chercheur précise par ailleurs que la ville natale ne figurait pas telle quelle dans la mémoire de Claude : l’IA l’a déduite d’une conversation bien antérieure.

Signalement à Anthropic et correction partielle

Le chercheur a transmis sa découverte à Anthropic via son programme de bug bounty sur HackerOne. L’entreprise a confirmé avoir déjà identifié le problème en interne, mais ne l’avait pas encore corrigé, et aucune prime n’a été versée. Anthropic a depuis limité l’outil web_fetch : il ne peut plus suivre les liens présents sur des pages externes, et se limite désormais aux URL fournies directement par l’utilisateur ou issues d’une recherche web.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !


Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !