Le 24 mars 2026, une enquête publiée par 404Media a sonné comme un avertissement brutal pour la communauté technologique. Ce jour-là, une simple recherche de « plugins Claude » sur le moteur de recherche le plus utilisé au monde ne renvoyait pas vers la documentation officielle d'Anthropic, ni vers un article d'analyse réputé, mais directement vers une page frauduleuse conçue avec soin. Ce résultat piégé, parvenu à la toute première position des résultats naturels, est resté en ligne assez longtemps pour être exposé à des milliers de visiteurs avant d'être débusqué. Cet incident dépasse la simple anecdote technique : il marque le début d'une nouvelle ère de cybercriminalité où l'engouement pour l'intelligence artificielle sert de vecteur principal à des attaques d'une sophistication inédite. L'illusion de sécurité offerte par le premier résultat Google s'est brisée, révélant une faille critique dans nos habitudes de navigation.
Une routine devenue danger mortel
Le mécanisme de cette arnaque repose sur un conditionnement psychologique collectif. Des années d'utilisation nous ont appris que le premier lien bleu sur Google est synonyme de pertinence, d'autorité et de sécurité. Un développeur ou un curieux souhaitant explorer les fonctionnalités étendues de Claude, l'IA d'Anthropic, ouvre son navigateur, tape sa requête et clique machinalement sur ce résultat prestigieux. Ce réflexe, ancré dans le comportement de millions d'internautes, a été weaponisé par des attaquants qui ont compris que la confiance est le maillon faible de la chaîne de sécurité.
Dans le cas précis analysé par 404Media, le piège était particulièrement perfide car il ciblait des utilisateurs légitimes à la recherche d'outils réels. La page en question n'était pas un site grossier aux couleurs douteuses, mais une interface suffisamment convaincante pour tromper la vigilance de visiteurs avertis. Le volume de trafic généré par cette première position est colossal, transformant une simple manipulation de référencement en une machine de contamination à grande échelle. Le nombre de victimes potentielles se compte en milliers, chacune représentant une porte d'entrée potentielle pour des malwares sur des machines souvent critiques.
L'IA comme nouvel Eldorado des hackers
Cette attaque n'est pas arrivée par hasard. Elle s'inscrit dans une tendance lourde observée depuis plusieurs mois par les spécialistes de la sécurité, comme l'a souligné Mac4Ever dès février 2026. Les outils d'Anthropic, ainsi que ceux de ses concurrents, ont quitté la sphère exclusive des développeurs pour conquérir le grand public. Cette démocratisation massive crée un terrain de chasse idéal pour les cybercriminels. L'IA est le sujet du moment, générant une demande vorace de nouvelles fonctionnalités, d'extensions et de plugins.
Les pirates jouent sur cette impatience et cette « FOMO » (Fear Of Missing Out) technologique. Les utilisateurs sont prêts à tout pour tester la dernière fonctionnalité prometteuse, et cette curiosité les pousse à baisser leur garde. En se positionnant sur des termes aussi recherchés que « plugins Claude », les attaquants assurent un retour sur investissement immédiat pour leurs opérations malveillantes. La marque Claude, par sa légitimité grandissante, devient malgré elle un appât puissant, détournant une promesse d'innovation en vecteur de menace.
InstallFix : l'attaque par copier-coller qui a dupé les utilisateurs
Si l'arnaque a fonctionné, ce n'est pas seulement grâce à une bonne position dans les résultats de recherche, mais grâce à une technique d'attaque redoutablement efficace baptisée « InstallFix ». Identifiée par les chercheurs de PushSecurity, cette méthode marque un tournant dans l'ingénierie sociale : elle ne cible pas l'internaute novice, mais spécifiquement les développeurs et les utilisateurs techniques. L'objectif n'est plus de faire cliquer sur une pièce jointe douteuse, mais de faire exécuter du code malveillant via le terminal en imitant les procédures d'installation standard.
Le clonage de page : quand le faux devient indiscernable du vrai
L'efficacité d'InstallFix réside dans sa capacité à imiter à la perfection l'environnement technique que les développeurs côtoient quotidiennement. Les attaquants ne se contentent pas de créer une fausse page d'accueil ; ils clonent les pages d'installation d'outils en ligne de commande (CLI) comme Claude Code ou NotebookLM. Ils reproduisent fidèlement la typographie monospacée, les codes couleurs spécifiques aux langages de programmation, et la structure austère mais rassurante de la documentation technique.
Pour un œil habitué, tout semble normal. La disposition des blocs de code, la présence de boutons de copie, et même le ton impersonnel du texte sont autant de signaux qui activent la reconnaissance de patterns familiers chez le développeur. C'est là que réside le danger : en reproduisant l'esthétique de la légitimité, les pirates désamorcent la méfiance avant même qu'elle ne naisse. L'utilisateur technique, qui se sent dans son élément, est d'autant plus vulnérable à ce mimétisme de surface qui cache un code corrompu.
Le réflexe copier-coller, vecteur d'infection numéro un
Le point d'entrée de l'infection est un geste automatisé : le copier-coller. L'installation de logiciels via le terminal est une routine courante pour tout développeur. On copie une commande curl ou pip install depuis la documentation, on la colle dans le terminal, et on appuie sur Entrée. C'est un réflexe acquis, effectué souvent sans lire chaque caractère de la chaîne, surtout quand elle semble longue et complexe.
Les attaques de type InstallFix injectent des commandes malveillantes au sein de ces scripts. Une fois collées et exécutées, ces commandes téléchargent et lancent un malware sur la machine de la victime. Ce qui rend cette approche terrifiante, c'est qu'elle exploite la confiance aveugle dans l'outil terminal. On suppose que si la commande vient d'une page qui ressemble à la doc officielle, elle est sûre. Or, la moindre modification de l'URL source dans la commande ou l'ajout d'un pipe redirigeant vers un script externe suffit à compromettre tout un système.
Des cibles à haute valeur ajoutée
Il est crucial de comprendre que cette attaque ne vise pas l'utilisateur lambda. Elle cible des profils techniques : développeurs, ingénieurs, administrateurs système. Ces profils possèdent souvent sur leurs postes de travail des éléments bien plus précieux qu'une simple adresse email : des clés API donnant accès à des services cloud, des identifiants de déploiement continu (CI/CD), ou des accès à des bases de données de production.
En compromettant la machine d'un développeur via une fausse commande d'installation, les attaquants ne volent pas seulement des données bancaires, ils s'infiltrent potentiellement dans l'infrastructure entière d'une entreprise. C'est ce qu'on appelle une attaque par « chaîne d'approvisionnement logicielle » inversée. Au lieu de pirater un serveur protégé, on pirate l'outil que l'administrateur va installer lui-même. L'expertise technique, censée être une barrière, devient ici le talon d'Achille de la victime.
Annonce Google vérifiée, domaine claude.ai : la chaîne de confiance exploitée à 25 000 clics
L'enquête approfondie menée par AdGuard a révélé une dimension encore plus inquiétante de cette affaire. Les pirates n'ont pas seulement utilisé le référencement naturel (SEO) pour piéger les utilisateurs ; ils ont investi dans des campagnes publicitaires sur Google Ads. Pire encore, ils ont utilisé comme vecteur de diffusion le propre domaine officiel d'Anthropic, claude.ai, transformant la forteresse de l'éditeur en une arme de distraction massive.
Le domaine claude.ai utilisé comme arme de tromperie
Le cœur de cette supercherie réside dans l'utilisation du système de contenu généré par les utilisateurs (UGC) hébergé sur claude.ai. Les attaquants ont créé des pages ou des artefacts publics sur le domaine officiel, y insérant leur code malveillant ou leurs liens de téléchargement. Ils ont ensuite acheté des espaces publicitaires Google Ads pointant directement vers ces URLs.
Pour l'utilisateur, l'affichage est trompeur : l'URL dans la barre d'adresse commence bien par claude.ai, et une petite icône indiquant « Annonce Google » ou « Sponsorisé » peut même paradoxalement renforcer le sentiment de légitimité, car on associe la publicité payante à une vérification de l'annonceur par Google. Cependant, le piège réside dans la nature du contenu : il ne s'agit pas d'une page publiée par Anthropic, mais d'une page générée par un utilisateur, identifiable seulement par un disclaimer minuscule en bas de page. Sur un mobile, ce détail invisible passe totalement inaperçu.
25 000 clics et une page restée en ligne 16 heures après signalement
Les chiffres fournis par AdGuard donnent la mesure de l'ampleur du désastre. Deux pages malveillantes spécifiques ont été identifiées lors de cette campagne, cumulant à elles seules environ 25 000 clics. Cela représente 25 000 occasions pour un malware de s'installer sur des postes potentiellement critiques. C'est un volume de contamination énorme pour une période aussi courte, qui prouve l'efficacité redoutable de l'association entre le malvertising et l'abus de réputation de domaine.
Le plus consternant dans cette affaire est le temps de réaction. L'une des pages malveillantes identifiées est restée accessible et entièrement fonctionnelle pendant 16 heures après avoir été signalée aux équipes de sécurité concernées. Dans le monde du numérique, 16 heures représentent une éternité. C'est le temps suffisant pour qu'une infection se propage à travers un réseau d'entreprise, pour que des données soient exfiltrées vers des serveurs étrangers, ou pour que des comptes bancaires soient vidés. Cette inertie pose question sur la capacité des plateformes à réagir face à des campagnes sophistiquées qui utilisent leurs propres infrastructures contre elles.
L'investissement financier comme preuve de professionnalisme
Il ne faut pas oublier que cette opération a un coût. Obtenir la première position publicitaire sur des mots-clés aussi compétitifs que ceux liés à l'IA exige un budget publicitaire conséquent. Les attaquants n'ont pas hésité à payer pour accéder à leurs victimes. Cet investissement financier démontre une professionnalisation effrayante du cybercrime. Il ne s'agit plus de pirates isolés dans une cave, mais d'organisations structurées disposant d'un budget marketing et d'une analyse de rentabilité.
Le fait de passer par les processus de validation de Google Ads, même s'ils sont parfois contournés, montre que les attaquants sont prêts à prendre des risques financiers pour maximiser leur retour sur investissement via la vente des données volées. Cette logique économique perverse encouragera probablement d'autres campagnes similaires si les contrôleurs ne parviennent pas à détecter plus rapidement l'utilisation abusive de domaines de confiance à des fins malveillantes.
Amatera Stealer : ce que volait exactement le malware caché derrière les plugins Claude
Une fois le piège refermé, que se passe-t-il concrètement sur la machine de la victime ? L'analyse technique menée par PushSecurity a permis d'identifier le malware distribué via cette campagne : Amatera Stealer. Contrairement aux rançongiciels qui bloquent l'accès aux données, ce logiciel appartient à la famille des « infostealers », des voleurs silencieux dont l'objectif est d'extraire toutes les informations précieuses stockées sur l'ordinateur sans alerter l'utilisateur.
Mots de passe, cookies, tokens de session : le vol silencieux en détail
Amatera Stealer n'est pas un logiciel nouveau sur le marché noir. Il s'agit d'une évolution d'un malware précédent nommé ACR Stealer, apparu vers 2025 et commercialisé sous forme de service (Malware-as-a-Service). Les criminels peuvent s'abonner à cette plateforme pour obtenir l'outil prêt à l'emploi, ce qui explique sa diffusion rapide.
Une fois exécuté, le malware scanne le système à la recherche de trésors numériques. Il vise en priorité les coffres-forts des navigateurs web, où sont stockés les mots de passe sauvegardés. Mais sa capacité la plus dangereuse réside dans le vol de cookies et de tokens de session. Ces petits fichiers permettent de rester connecté à des sites web sans avoir à ressaisir ses identifiants à chaque visite. En les volant, le pirate acquiert la capacité de se connecter à vos comptes sans connaître votre mot de passe. Amatera Stealer récupère également des informations système détaillées (adresse IP, version de l'OS, liste des logiciels installés) pour identifier la machine et sa valeur potentielle sur le marché noir.
Pourquoi un vol de cookies peut vider votre compte bancaire
Il est essentiel de comprendre la mécanique précise de ce vol pour saisir la gravité de la menace. De nombreux utilisateurs pensent être protégés par l'authentification à deux facteurs (2FA). C'est vrai : si un pirate vole votre mot de passe bancaire, il ne pourra pas se connecter sans le code SMS.
Cependant, les cookies contiennent la preuve que vous vous êtes déjà authentifié avec succès. En volant le cookie, le pirate fait une « Pass-the-Cookie attack ». Il se présente au site de la banque non pas comme un intrus essayant de deviner le mot de passe, mais comme l'utilisateur légitime qui vient de fermer sa session. Pour le serveur, tout est normal. La protection 2FA est ainsi totalement contournée. C'est pourquoi le vol de cookies via Amatera Stealer est bien plus critique que le simple vol de mots de passe : il ouvre les portes de vos comptes les plus sensibles sans déclencher d'alertes de sécurité classiques.
La discrétion comme stratégie de survie
La stratégie de survie d'Amatera Stealer repose sur la furtivité. Contrairement aux virus bruyants qui ralentissent l'ordinateur ou affichent des fenêtres pop-up, ce malware est conçu pour être invisible. Il s'exécute en arrière-plan, utilise une fraction infime des ressources processeur, et communique avec ses serveurs de commande de manière chiffrée et sporadique.
Cette discrétion lui permet de rester installé des semaines, voire des mois, collectant progressivement de nouvelles données à mesure que l'utilisateur visite de nouveaux sites ou se connecte à de nouveaux services. Plus il reste longtemps, plus son « butin » devient précieux. Cette caractéristique rend sa détection difficile par les utilisateurs eux-mêmes, qui ne remarquent aucune anomalie dans le fonctionnement de leur machine jusqu'à ce que les dégâts soient irréversibles.
Le parasite SEO : quand Google transforme l'autorité des sites en faille de sécurité
Ce cas d'attaque contre les plugins Claude n'est pas un incident isolé, mais l'illustration parfaite d'une technique de référencement malveillante bien connue des experts : le « parasite SEO ». Ce phénomène met en lumière une faille systémique dans la façon dont fonctionnent les moteurs de recherche, où la confiance accordée aux sites de haute autorité est retournée contre eux par des attaquants ingénieux.
L'abus de réputation de site : pirater Google sans pirater les serveurs
Comme l'analyse le spécialiste Abondance, le parasite SEO consiste à exploiter la crédibilité et l'autorité de sites web tiers pour propulser du contenu malveillant dans les premiers résultats. La logique est simple : pourquoi créer un nouveau site et passer des mois à gagner la confiance de Google, alors qu'on peut squatter un site qui est déjà en haut du classement ?
Les pirates n'ont pas besoin de pirater le serveur du site victime pour modifier sa page d'accueil. Ils utilisent des failles de sécurité, ou plus simplement des fonctionnalités de publication (commentaires, forums, profils utilisateurs), pour insérer leur contenu optimisé. Dans le cas qui nous intéresse, ils ont utilisé les fonctionnalités UGC de claude.ai. Le parasite se nourrit de l'hôte : le contenu malveillant profite de la « force » du domaine (sa forte autorité) pour grimper dans les résultats instantanément, sans avoir à faire ses preuves.
Pourquoi l'algorithme de Google ne détecte pas le parasite SEO
La raison pour laquelle cette technique est si difficile à contrer réside dans le cœur même de l'algorithme de classement. Google accorde une importance démesurée à l'autorité du domaine. Si un contenu pertinent et optimisé pour des mots-clés apparaît sur un domaine comme claude.ai ou un grand média, l'algorithme suppose qu'il est légitime et le place en tête.
C'est une logique statistique qui fonctionne très bien pour le web normal, mais qui devient une faille majeure face au parasite SEO. L'algorithme voit l'équation suivante : « Domaine de confiance + Contenu optimisé = Premier rang ». Il n'a pas la capacité sémantique de comprendre l'intention malveillante cachée derrière le contenu, surtout si ce contenu respecte les règles syntaxiques et techniques du site hôte. Le parasite SEO exploite cette cécité algorithmique pour transformer des forteresses numériques en vecteurs d'infection.
La difficulté de modérer le contenu généré par les utilisateurs
L'explosion du contenu généré par les utilisateurs (UGC) exacerbe ce problème. Les plateformes modernes, y compris celles d'IA, encouragent le partage de code et de créations pour dynamiser leurs écosystèmes. Cependant, cette ouverture créative crée une surface d'attaque immense. Il est humainement impossible de modérer manuellement chaque ligne de code ou chaque lien partagé par des millions d'utilisateurs.
Les systèmes de modération automatisés, quant à eux, peinent à faire la distinction entre un script complexe mais légitime et un code malveillant obfusqué. Les attaquants jouent sur cette frontière technique, utilisant la structure même de l'open source et du partage de connaissances pour dissimuler leurs malwares sous une apparence bénéfique. Tant que l'algorithme favorisera la réputation du domaine sur l'analyse granulaire du contenu hébergé, cette faille structurelle persistera.
Claude, ChatGPT, Midjourney : 5 vérifications pour ne pas installer un malware
Face à cette menace évolutive, il est impératif d'adopter une posture de cybersécurité proactive, surtout lors de l'installation d'outils liés à l'IA. Voici cinq vérifications essentielles à effectuer pour transformer votre curiosité en sécurité, et non en vulnérabilité.
Vérifier le vrai sous-domaine : claude.ai/xxx n'est pas claude.ai officiel
La première vérification est l'analyse critique de l'URL. Ne vous arrêtez pas au nom de domaine principal. Une URL comme claude.ai/artifacts/xyz123 peut sembler officielle, mais la présence de chemins comme /artifacts, /user/, ou des chaînes de caractères aléatoires indique souvent du contenu généré par les utilisateurs. Une page officielle de téléchargement ou de documentation se trouvera généralement sur une structure plus propre, comme anthropic.com/claude ou docs.anthropic.com. Prenez le temps de lire l'URL en entier avant de cliquer. Le gouvernement français recommande également de vérifier l'absence de fautes d'orthographe ou de variations suspectes dans le nom de domaine, une technique courante appelée typosquatting.
Le test du disclaimer et de la cohérence visuelle
Faites défiler jusqu'en bas de la page. Si vous voyez un disclaimer indiquant que le contenu est généré par un utilisateur, soumis à modération, ou non vérifié par l'éditeur, considérez la page comme suspecte. De même, scrutiez la cohérence visuelle. Les grandes entreprises comme Anthropic disposent de chartes graphiques strictes. Une police légèrement décalée, un logo de mauvaise qualité ou une faute d'orthographe dans l'interface doivent déclencher votre vigilance.
Enfin, rappelez-vous que la présence du cadenas HTTPS dans la barre d'adresse garantit uniquement que la connexion est chiffrée, ce qui empêche une tierce partie d'intercepter vos données en transit. Cela ne garantit en rien que le site sur lequel vous vous trouvez est honnête. Les sites frauduleux sont également capables d'obtenir des certificats HTTPS valides.
Ne jamais copier-coller une commande d'installation sans la lire
C'est le point critique pour les utilisateurs techniques. Considérez chaque bloc de code comme une bombe potentielle jusqu'à preuve du contraire. Prenez l'habitude de copier la commande dans un éditeur de texte simple (comme le Bloc-notes) pour l'examiner mot à mot.
Vérifiez le nom du binaire téléchargé. Est-ce qu'il correspond à ce que vous attendiez ? La commande pointe-t-elle vers le serveur officiel (comme GitHub) ou vers une adresse obscure ? Si une commande semble télécharger un fichier depuis un raccourcisseur d'URL ou un domaine inconnu, ne l'exécutez pas. Prenez quelques secondes pour comparer la commande avec la documentation officielle sur le site de l'éditeur. Cette petite vérification peut épargner des jours de récupération de données.
Consulter la source primaire avant Google
Inversez votre processus de recherche. Au lieu de demander à Google « comment installer un plugin Claude », allez directement sur le site d'Anthropic. Les outils d'IA majeurs disposent généralement de marketplaces officielles ou de listes d'extensions approuvées. Par exemple, pour ChatGPT, la référence absolue reste le GPT Store d'OpenAI. Si une extension n'est pas listée sur le canal officiel de l'éditeur, considérez-la comme non sûre. La règle d'or est simple : s'il n'est pas dans la boutique ou la documentation officielle, il ne devrait pas être installé sur votre machine.
En cas de doute : le réflexe VirusTotal
Enfin, utilisez des outils d'analyse externe pour valider vos doutes. VirusTotal est une plateforme gratuite qui analyse les fichiers et les URL avec des dizaines d'antivirus et de moteurs de réputation. Avant d'ouvrir un fichier téléchargé ou même de cliquer sur un lien douteux, copiez l'URL ou uploadez le fichier sur VirusTotal.
Si l'outil a déjà été utilisé par des criminels dans d'autres attaques, il est fort probable qu'il ait été signalé. Même une seule détection parmi les dizaines de moteurs doit vous inciter à arrêter immédiatement l'opération. C'est une barrière de sécurité supplémentaire simple, gratuite, et redoutablement efficace contre les malwares comme Amatera Stealer qui essaient de passer sous les radars des antivirus individuels.
Première page Google ne veut pas dire « sûr » : la leçon à retenir du piratage des plugins Claude
L'affaire du piratage des plugins Claude nous offre un rappel brutal mais nécessaire : la première page de Google n'est pas un certificat de sécurité. Nous avons longtemps considéré le classement du moteur de recherche comme une validation implicite de la fiabilité, un sceau d'approbation numérique. Or, comme nous l'avons vu, cette confiance est désormais un actif exploitable par des attaquants utilisant des techniques sophistiquées comme le parasite SEO, le malvertising ou le clonage d'interface.
Que ce soit via le système de contenu utilisateur sur claude.ai, par l'achat de mots-clés publicitaires ou par l'usurpation de l'identité visuelle de développeurs, les vecteurs d'attaque se multiplient à mesure que l'intelligence artificielle devient centrale dans nos workflows quotidiens. La leçon à retenir est celle de la vigilance active. Face à la ruée vers l'or de l'IA, chaque clic sur un lien présenté comme « officiel » doit rester un acte critique, et non un réflexe automatisé. L'époque où l'on pouvait naviguer aveuglément en se fiant au premier résultat est révolue. Vérifier les sources, décortiquer les URL, douter des commandes copiées-collées et confirmer via les canaux officiels ne sont plus des tâches réservées aux experts en cybersécurité, mais des gestes d'hygiène numérique essentiels pour quiconque souhaite intégrer ces puissants outils sans compromettre son intégrité numérique.
