Alors, est ce que vous AUSSI, vous avez succomb\u00e9 \u00e0 la tentation de Claude Code, le nouvel agent en ligne de commande d’Anthropic ?<\/p>\n
J’suis s\u00fbr que oui !! Ahaha, C’est vrai que c’est hyper pratique de laisser une IA fouiller dans son repo pour corriger des bugs ou refactorer du code. Mais comme toujours avec ces outils qui ont un pied dans votre terminal et un autre dans le cloud, la question de la s\u00e9curit\u00e9 finit toujours par se poser.<\/p>\n
Est-ce que Claude Code est vraiment s\u00fbr ?<\/p>\n
Pour Anthropic, la r\u00e9ponse est un grand oui, avec tout son syst\u00e8me de permissions bas\u00e9 sur une “blocklist” d’arguments dangereux…<\/p>\n
Sauf que voil\u00e0, En effet, le gars a d\u00e9got\u00e9 pas moins de 8 fa\u00e7ons diff\u00e9rentes de faire ex\u00e9cuter n’importe quelle commande arbitraire \u00e0 Claude Code, le tout sans que vous ayez \u00e0 cliquer sur “Approuver”.<\/p>\n En fait, Claude Code autorise par d\u00e9faut certaines commandes jug\u00e9es “inoffensives” comme man, sort ou sed, parce qu’elles sont cens\u00e9es \u00eatre en lecture seule. Et pour \u00e9viter les d\u00e9rives, Anthropic filtre les arguments avec des expressions r\u00e9guli\u00e8res.<\/p>\n C’est du classique mais RyotaK a montr\u00e9 que c’est un vrai champ de mines. Par exemple, sur la commande “man”, il suffisait d’utiliser l’option –html pour lui faire ex\u00e9cuter un binaire arbitraire charg\u00e9 de “formater” la page.<\/p>\n Pareil pour la commande “sort” qui, avec l’argument –compress-program, permet de lancer un shell qui va gentiment interpr\u00e9ter tout ce qu’on lui envoie sur l’entr\u00e9e standard.<\/p>\n C’est vicieux parce que ce ne sont pas des bugs de Claude Code \u00e0 proprement parler, mais juste des fonctionnalit\u00e9s l\u00e9gitimes d’outils Unix vieux de 30 ans que personne ne soup\u00e7onne d’\u00eatre des vecteurs d’attaque ici…<\/p>\n Alors oui, pour ceux qui se demandent si Claude peut lire tout leur code, la r\u00e9ponse est oui, et c’est justement l\u00e0 que \u00e7a coince car si vous lancez l’outil sur un projet qui contient des fichiers malveillants (venant d’une PR douteuse ou d’un repo clon\u00e9 \u00e0 la va-vite), l’IA peut se faire pi\u00e9ger par ce qu’on appelle de l’injection de prompt indirecte.<\/p>\n Dans un des PoC, le chercheur utilise m\u00eame les subtilit\u00e9s de Bash avec des trucs comme ${VAR@P} qui permettent d’interpr\u00e9ter le contenu d’une variable comme une invite de commande, ex\u00e9cutant ainsi du code cach\u00e9. On est en plein dans la magie noire pour terminal et le pire, c’est que m\u00eame git s’est fait avoir… En effet, Claude bloquait l’argument –upload-pack, mais comme git accepte les versions abr\u00e9g\u00e9es, il suffisait de taper –upload-pa pour passer \u00e0 travers les mailles du filet !<\/p>\n Bref, c’est le jeu du chat et de la souris habituel, mais ici les enjeux sont \u00e9normes puisque l’agent a potentiellement acc\u00e8s \u00e0 vos cl\u00e9s SSH, vos variables d’environnement et tout votre OS.<\/p>\n Apr\u00e8s la bonne nouvelle (parce qu’il en faut bien de temps en temps…ahah), c’est qu’Anthropic a r\u00e9agi au quart de tour et la faille, estampill\u00e9e CVE-2025-66032, a bien \u00e9t\u00e9 corrig\u00e9e dans la version 1.0.93 de claude-code. Ils ont carr\u00e9ment abandonn\u00e9 l’approche par blocklist (trop permissive par nature) pour passer \u00e0 une allowlist beaucoup plus stricte. Donc, si vous tra\u00eenez encore sur une vieille version, un petit coup de npm install -g @anthropic-ai\/claude-code ne vous fera pas de mal.<\/p>\n Voil\u00e0… C’est vrai que ces chouette tous ces assistants IA mais le prix \u00e0 payer pour avoir un assistant qui bosse \u00e0 votre place c’est que derri\u00e8re, faut s’assurer aussi qu’il ne laisse pas la porte ouverte aux cambrioleurs en passant.<\/p>\n Apr\u00e8s, \u00e7a ou un vrai employ\u00e9 qui tape dans la caisse
\nRyotaK<\/a>
\n, un chercheur en s\u00e9curit\u00e9 chez GMO Flatt Security, a d\u00e9cid\u00e9 d’aller voir sous le capot, et ce qu’il a trouv\u00e9 devrait normalement, vous faire lever un gros sourcil.<\/p>\nman --html=\"touch \/tmp\/pwned\" man\n<\/span><\/span><\/code><\/pre>\nsort --compress-program \"gzip\"\n<\/span><\/span><\/code><\/pre>\n
\nou pire<\/a>
\n…<\/p>\n