Faille Claude Code du sandbox exposait identifiants et codes sources
Une importante vulnérabilité de sécurité affectant l’assistant de développement IA Claude Code, développé par Anthropic, a récemment été révélée par un chercheur en cybersécurité.
Cette faille permettait de contourner le mécanisme de sandbox réseau de Claude Code et d’exfiltrer des données sensibles telles que :
- des identifiants AWS,
- des tokens GitHub,
- des variables d’environnement,
- ou encore du code source interne.
Selon les informations publiées, la vulnérabilité aurait affecté plus de 130 versions du produit pendant environ cinq mois.
Une vulnérabilité liée au sandbox réseau
Le problème provenait d’un mécanisme de validation des domaines autorisés dans le proxy SOCKS5 utilisé par Claude Code.
Le chercheur en sécurité Aonan Guan a démontré qu’un attaquant pouvait exploiter une différence d’interprétation entre JavaScript et certaines fonctions système utilisées par la librairie libc.
En injectant un caractère null byte (\x00) dans un nom d’hôte spécialement conçu, il devenait possible de contourner les restrictions réseau mises en place par le sandbox.
Le filtre JavaScript considérait alors le domaine comme autorisé, tandis que le système sous-jacent résolvait en réalité un domaine contrôlé par l’attaquant.
Des risques importants pour les développeurs
Cette vulnérabilité devenait particulièrement dangereuse lorsqu’elle était combinée à des attaques de type prompt injection.
Un simple commentaire GitHub, un README malveillant ou une documentation compromise pouvait pousser Claude Code à exécuter des actions non prévues dans le sandbox.
Les attaquants pouvaient alors récupérer :
- des clés API,
- des identifiants cloud,
- des données internes,
- ou accéder à des ressources réseau privées.
Le rapport mentionne également la possibilité d’atteindre des métadonnées cloud sensibles comme l’adresse 169.254.169.254, fréquemment utilisée dans les environnements AWS.
Un correctif publié discrètement
La vulnérabilité a finalement été corrigée dans Claude Code v2.1.90 via une amélioration de la validation des noms d’hôtes.
Le correctif ajoute notamment :
- un rejet des caractères null bytes,
- un filtrage des caractères non valides,
- ainsi qu’un contrôle plus strict des domaines DNS.
Cependant, aucun avis de sécurité public ni CVE spécifique n’a été officiellement publié pour cette seconde faille au moment de la divulgation.
FAQ – Faille Claude Code
Qu’est-ce que Claude Code ?
Claude Code est un assistant IA développé par Anthropic pour aider les développeurs dans les tâches de programmation et d’automatisation.
Quelle était la vulnérabilité principale ?
La faille permettait un contournement du sandbox réseau grâce à une injection de type null byte dans les requêtes SOCKS5.
Quelles données pouvaient être exposées ?
Les attaquants pouvaient potentiellement accéder à des tokens GitHub, des clés AWS, des variables d’environnement et du code source.
Comment se protéger ?
Il est recommandé de mettre à jour Claude Code vers la version 2.1.90 ou supérieure et de limiter les accès réseau des assistants IA.
Les recommandations de sécurité
Les utilisateurs de Claude Code sont fortement encouragés à :
- mettre à jour immédiatement vers la dernière version,
- auditer les journaux réseau,
- révoquer et renouveler les identifiants potentiellement exposés,
- limiter les accès réseau des assistants IA,
- et appliquer des contrôles de sécurité indépendants du sandbox applicatif.
Cette affaire rappelle une nouvelle fois que les mécanismes de sandbox intégrés aux outils d’IA doivent être considérés comme une couche de sécurité supplémentaire, et non comme une frontière de sécurité absolue.
