Entre le 22 avril et le 5 juin 2026, des opérateurs liés au laboratoire Qwen d’Alibaba auraient généré 28,8 millions d’interactions avec Claude à partir de près de 25 000 comptes frauduleux. L’accusation vient d’Anthropic, qui affirme que cette campagne visait à extraire les capacités les plus avancées de son modèle, notamment en matière de raisonnement agentique, d’ingénierie logicielle et de résolution de tâches complexes.
À ce stade, les éléments publics reposent principalement sur les déclarations du laboratoire américain et devront être confrontés à des preuves techniques plus détaillées. Mais l’ampleur alléguée de l’opération dépasse largement le simple contournement de conditions générales d’utilisation. L’affaire illustre une transformation stratégique : les modèles d’intelligence artificielle deviennent des cibles de renseignement technologique.
Copier un modèle sans voler son code
Pendant longtemps, protéger une technologie signifiait sécuriser son code source, ses infrastructures, ses brevets et ses bases de données. Les grands modèles de langage modifient cette équation, car une partie de leur valeur réside désormais dans leur comportement : la manière dont ils répondent, corrigent une erreur, décomposent un problème ou produisent du code.
Chaque interaction livre ainsi un fragment d’information sur les compétences acquises pendant l’entraînement. Un modèle très performant devient une source de données pour ses propres concurrents, sans que ceux-ci aient besoin d’accéder directement à ses poids, c’est-à-dire aux paramètres numériques qui structurent son fonctionnement. En multipliant les requêtes ciblées, un acteur peut collecter des millions de réponses, les transformer en données d’entraînement puis améliorer un modèle plus petit.
Cette technique porte un nom : la distillation. Dans sa forme classique, un modèle « élève » apprend à imiter les résultats d’un modèle « professeur ». La méthode est courante en apprentissage automatique et ne constitue pas, en elle-même, une pratique frauduleuse. La frontière est franchie lorsque l’apprentissage repose sur des comptes fictifs, des accès dissimulés et une collecte massive destinée à contourner les restrictions imposées par le fournisseur.
La distillation ne relève alors plus seulement de l’optimisation technique. Elle devient une méthode d’appropriation industrielle de capacités développées par un concurrent.
Une opération structurée, loin du hacker isolé
Une campagne menée à cette échelle suppose une organisation importante. Les opérateurs doivent identifier les domaines dans lesquels le modèle excelle, construire des séries de questions, varier les formulations, analyser les réponses et sélectionner les résultats les plus utiles. L’objectif consiste à produire un corpus synthétique de haute qualité, capable d’alimenter l’entraînement d’un modèle concurrent.
La collecte repose également sur une infrastructure destinée à contourner les blocages : multiplication des comptes, utilisation de proxies, intermédiaires offshore, revendeurs d’accès et logiciels relais chargés de répartir les appels aux interfaces de programmation. Le modèle cible est interrogé méthodiquement, comme un système que l’on cherche à cartographier, à tester et à reproduire.
Cette organisation se rapproche davantage d’une opération de renseignement que d’un simple usage abusif d’un service en ligne. L’intérêt économique est évident : un laboratoire qui engage plusieurs années de recherche, des milliers de salariés et des milliards d’investissements expose une partie de cette valeur à chaque réponse générée.
L’attaquant n’a d’ailleurs pas besoin de reproduire l’intégralité du modèle. Récupérer certaines compétences rares, en programmation, en raisonnement scientifique, en planification ou en usage d’outils, suffit déjà à réduire une partie de l’écart technologique.
La puissance sans les garde-fous
La distillation comporte un autre risque, moins visible : un modèle copié n’hérite pas nécessairement des mécanismes de sécurité du modèle d’origine. Les règles de filtrage, les refus intégrés, les couches d’alignement et les systèmes de modération ne se transmettent pas automatiquement avec les compétences.
Un modèle élève peut donc apprendre à résoudre certaines tâches sans reprendre les restrictions appliquées par son professeur. Une partie de la puissance est reproduite, tandis que les freins peuvent disparaître. Cette dissociation intéresse directement les acteurs militaires, les services de renseignement et les spécialistes de la cybersécurité.
Un système conçu pour refuser certaines demandes sensibles peut ainsi alimenter, malgré lui, l’entraînement d’un modèle moins contraint. La question dépasse alors la propriété intellectuelle et touche à la prolifération de capacités avancées : automatisation de cyberattaques, production de logiciels, recherche scientifique, analyse de données ou planification complexe.
Washington transforme le sujet en enjeu de sécurité nationale
Les autorités américaines ont rapidement durci leur lecture du phénomène. En février 2026, Anthropic accuse déjà DeepSeek, Moonshot AI et Minimax d’avoir utilisé environ 24 000 comptes frauduleux pour générer plus de 16 millions d’interactions avec Claude. Le 23 avril, la Maison-Blanche publie un mémorandum consacré à l’« adversarial distillation » des modèles américains et qualifie ces campagnes, principalement attribuées à des acteurs chinois, de menaces pour la sécurité nationale.
Le 10 juin, Anthropic saisit le Sénat américain au sujet de la campagne attribuée à Alibaba, présentée comme la plus vaste observée contre ses systèmes. En quelques mois, la distillation passe ainsi du vocabulaire des ingénieurs à celui de la puissance publique.
Washington ne considère plus seulement les modèles comme des produits commerciaux. Ils deviennent des actifs stratégiques, au même titre que certaines technologies militaires, les semi-conducteurs avancés ou les infrastructures critiques. Cette doctrine sert aussi les intérêts des laboratoires américains, qui renforcent leur protection juridique, politique et commerciale en qualifiant l’extraction de capacités de menace nationale.
La prudence reste donc nécessaire. Les accusations d’Anthropic doivent être examinées à partir de preuves techniques accessibles, et non uniquement à travers le récit de l’entreprise. Mais la question stratégique demeure, même en dehors de cette affaire précise.
L’Europe exposée sur deux fronts
Le 12 juin 2026, deux jours après la lettre d’Anthropic au Sénat, l’administration américaine restreint l’accès à certains modèles du laboratoire par crainte d’usages militaires ou de renseignement hostiles. La mesure provoque une interruption d’accès à l’échelle mondiale et rappelle aux utilisateurs européens une réalité souvent minimisée : un fournisseur américain reste soumis aux décisions de Washington.
Une entreprise, une administration ou un centre de recherche européen peut donc perdre l’accès à un modèle en raison d’un arbitrage politique décidé hors de l’Union. L’Europe se retrouve ainsi confrontée à deux vulnérabilités simultanées. La première vient d’acteurs étrangers capables d’extraire les compétences des meilleurs modèles. La seconde tient à la dépendance envers des fournisseurs qui gardent la maîtrise des accès, des tarifs, des capacités disponibles et des conditions d’utilisation.
D’un côté, certains États tentent de copier les modèles les plus avancés. De l’autre, les pays qui ne disposent pas d’alternatives restent soumis aux décisions des détenteurs de ces modèles. La dépendance technologique ne concerne donc pas seulement l’origine du logiciel : elle touche aussi la continuité d’accès, la maîtrise des infrastructures et la capacité à analyser les systèmes utilisés.
La souveraineté ne se limite pas à entraîner un modèle
L’Europe concentre une grande partie de son débat sur la création de champions locaux. Cette priorité est nécessaire, mais incomplète. Développer un modèle européen ne suffit pas si celui-ci reste vulnérable aux campagnes d’extraction, dépend de composants étrangers ou repose sur une infrastructure contrôlée par d’autres puissances.
Une politique de souveraineté devrait intégrer la détection des requêtes anormales, l’authentification renforcée, l’analyse des réseaux de proxys, la protection des interfaces d’accès et le suivi des campagnes de collecte. Elle suppose également une capacité offensive de compréhension, afin de tester les modèles européens, de simuler des tentatives de distillation et d’identifier les signaux associés à une collecte industrielle.
Dans le domaine cyber, une défense efficace repose sur la connaissance des méthodes adverses. L’IA suit désormais la même logique. Cette expertise doit toutefois s’inscrire dans un cadre juridique précis : comprendre les techniques d’extraction ne signifie pas les utiliser contre des alliés ou des concurrents, mais éviter que l’Europe découvre trop tard les méthodes employées contre ses propres systèmes.
Une bataille sur le contrôle de l’intelligence
La compétition mondiale autour de l’intelligence artificielle ne porte plus uniquement sur les puces, l’énergie ou la puissance de calcul. Elle concerne aussi la capacité à produire, protéger et conserver les compétences acquises par les modèles.
Un pays qui finance des laboratoires sans sécuriser leurs sorties laisse une partie de son investissement accessible à ses concurrents. Un pays qui utilise des modèles étrangers sans solution de remplacement expose ses entreprises et ses administrations à une rupture d’accès. La souveraineté se joue donc sur l’ensemble de la chaîne : données, calcul, modèles, interfaces, détection, hébergement et expertise humaine.
Si les faits allégués sont confirmés, l’affaire Anthropic-Alibaba ne constitue pas un simple incident commercial. Elle révèle un déplacement de la valeur stratégique. Les modèles ne sont plus seulement des logiciels : leur comportement devient un actif à protéger, à observer et, pour certains acteurs, à reproduire.
La prochaine bataille de l’IA se jouera aussi dans les millions de réponses que les machines livrent chaque jour.
Thomas LÉGER
Hexadef Capital – Hexablock














