Un pirate informatique a exploité le chatbot Claude d’Anthropic pour attaquer les agences gouvernementales mexicaines, volant 150 Go de données officielles. Les informations volées comprenaient les dossiers des contribuables et les informations d’identification des employés. La société de cybersécurité Gambit Security a identifié les attaques, qui ont débuté en décembre et se sont poursuivies pendant environ un mois. Le pirate informatique a utilisé Claude pour trouver des vulnérabilités dans les réseaux gouvernementaux, écrire des scripts d’exploitation et automatiser le vol de données.
L’attaquant a jailbreaké Claude en lui demandant de contourner ses garde-corps de sécurité. Le chatbot a d’abord refusé les demandes, mais a finalement accédé. Selon Curtis Simpson, directeur de la stratégie de Gambit Security, Claude a produit des milliers de rapports détaillés avec des plans d’attaque prêts à être exécutés. Ces plans précisaient les objectifs internes et les informations d’identification à utiliser.
Anthropic a enquêté sur l’activité, l’a perturbée et a banni tous les comptes impliqués. Un représentant de l’entreprise a déclaré que le dernier modèle, Claude Opus 4.6, comprend des outils pour empêcher une telle utilisation abusive. Le pirate informatique a également utilisé ChatGPT d’OpenAI pour compléter les attaques. Ils ont collecté des informations sur les mouvements du réseau, l’accès aux informations d’identification et l’évitement des détections. OpenAI a identifié les tentatives du pirate informatique de violer les politiques d’utilisation et a déclaré que ses outils refusaient de s’y conformer.
Le pirate informatique reste non identifié. Gambit Security a suggéré que les attaques pourraient être liées à un gouvernement étranger. L’intention des données volées n’est pas claire. L’agence nationale mexicaine du numérique n’a pas fait de commentaire mais a noté que la cybersécurité était une priorité. Le gouvernement de l’État de Jalisco a nié avoir été victime d’une violation, affirmant que seuls les réseaux fédéraux avaient été touchés. L’Institut électoral national du Mexique a également nié toute violation ou accès non autorisé.
Gambit Security a découvert au moins 20 failles de sécurité au cours de ses recherches. Ce n’est pas la première fois que Claude est utilisé dans une cyberattaque. L’année dernière, des pirates informatiques en Chine l’ont manipulé pour infiltrer des dizaines de cibles mondiales, certaines avec succès. Anthropic a récemment abandonné son engagement de longue date en matière de sécurité, qui s’engageait à ne pas former les systèmes d’IA sans garantir des mesures de sécurité adéquates.
