L’accusation qui a ébranlé l’industrie de l’IA
Le 23 février 2026, Anthropic a publié une divulgation détaillée qui a provoqué une onde de choc dans la communauté de l’intelligence artificielle. L’entreprise a publiquement accusé trois laboratoires chinois d’IA — DeepSeek, MiniMax et Moonshot AI — d’avoir orchestré des campagnes de distillation à échelle industrielle ciblant son modèle Claude. Les chiffres étaient stupéfiants : environ 24 000 comptes frauduleux et plus de 16 millions d’échanges conçus pour extraire systématiquement les capacités de raisonnement qu’Anthropic avait passé des années et des milliards de dollars à développer.
Il ne s’agissait pas de quelques chercheurs testant nonchalamment le modèle d’un concurrent. Selon l’enquête d’Anthropic, les opérations utilisaient ce que l’entreprise a décrit comme des « architectures en cluster hydra » — des réseaux de comptes frauduleux tentaculaires qui mêlaient le trafic de distillation aux requêtes légitimes pour échapper à la détection. Un réseau proxy gérait simultanément plus de 20 000 comptes. Les comptes avaient été créés selon des méthodes violant à la fois les conditions d’utilisation d’Anthropic et les restrictions d’accès régionales, puisque Claude n’est pas commercialement disponible en Chine.
La répartition par entreprise a révélé l’ampleur de chaque opération. MiniMax était le plus prolifique, générant plus de 13 millions d’échanges axés sur les capacités de codage agentique et d’utilisation d’outils. Moonshot AI représentait plus de 3,4 millions d’échanges ciblant le raisonnement agentique, l’utilisation d’outils, le codage et l’analyse de données, le développement d’agents d’utilisation d’ordinateur et la vision par ordinateur. L’opération de DeepSeek était plus modeste en volume — plus de 150 000 échanges — mais remarquable par son orientation stratégique vers les capacités de raisonnement, la notation basée sur des grilles d’évaluation pour les modèles de récompense par apprentissage par renforcement, et un détail particulièrement révélateur : le laboratoire avait sollicité l’aide de Claude pour générer des alternatives sûres en matière de censure à des requêtes politiquement sensibles concernant des dissidents, des dirigeants du parti et l’autoritarisme.
La divulgation a forcé l’ensemble de l’industrie de l’IA à affronter une vérité dérangeante : les modèles que les entreprises dépensent des centaines de millions de dollars à entraîner peuvent être systématiquement rétro-ingéniés par quiconque dispose de suffisamment de crédits API et de patience. La distillation de modèles — le processus d’entraînement d’un modèle plus petit pour reproduire les sorties d’un modèle plus grand — avait évolué d’une technique de recherche légitime vers un outil d’extraction de propriété intellectuelle à échelle industrielle.
Comment fonctionne réellement la distillation de modèles
Pour comprendre la gravité des accusations, il est utile de comprendre les mécanismes de la distillation de modèles. En son cœur, la distillation est d’une simplicité trompeuse. Un modèle « élève » est entraîné non pas sur des données brutes, mais sur les sorties d’un modèle « professeur ». En soumettant des millions de requêtes soigneusement élaborées au professeur et en enregistrant ses réponses, l’élève apprend à approximer le comportement du professeur — souvent pour une fraction du coût computationnel.
La technique a été initialement développée par Geoffrey Hinton, Oriol Vinyals et Jeff Dean dans un article de 2015 intitulé « Distilling the Knowledge in a Neural Network ». Le concept était pratique et parfaitement légitime : un modèle massif nécessitant un centre de données pouvait être « distillé » en une version compacte fonctionnant sur un smartphone, conservant la majeure partie des capacités de l’original. C’était élégant, utile pour le déploiement sur des appareils aux ressources limitées.
Ce qui a changé, c’est l’échelle et l’intention. Appliquée à des modèles de pointe comme Claude, GPT-4 ou Gemini, la distillation devient un mécanisme de transfert de capacités dont le développement a coûté des milliards. L’idée clé est que les sorties d’un modèle — ses chaînes de raisonnement, ses choix stylistiques, ses schémas d’erreur — contiennent des connaissances implicites sur ses données d’entraînement, ses décisions architecturales et ses stratégies d’affinage. Un ensemble de données de distillation suffisamment large peut capturer une grande partie de ces connaissances implicites.
Les opérations chinoises auraient poussé cette logique à l’extrême. Une technique notable identifiée par Anthropic consistait à demander à Claude d’« articuler le raisonnement interne derrière une réponse complétée… étape par étape », générant ainsi des données d’entraînement de chaîne de pensée à grande échelle. Plutôt que d’envoyer des requêtes aléatoires, les comptes utilisaient des séquences de requêtes systématiquement conçues pour cartographier les limites des capacités de Claude. Des chaînes de requêtes de complexité croissante établissaient le point exact où le raisonnement s’effondre. Des conversations à plusieurs tours extrayaient l’approche du modèle pour équilibrer des principes concurrents. Des demandes de génération de code dans des dizaines de langages de programmation révélaient l’étendue et la profondeur de l’entraînement technique du modèle.
Détection et attribution : comment Anthropic les a démasqués
La capacité d’Anthropic à détecter et attribuer les campagnes de distillation reposait sur une approche multicouche. L’entreprise a décrit l’utilisation d’empreintes comportementales et de classificateurs pour repérer les distributions de requêtes caractéristiques de la distillation, l’activité coordonnée multi-comptes et les demandes conçues pour déclencher un raisonnement en chaîne de pensée.
L’approche fonctionne sur le principe que les utilisateurs humains organiques interagissent avec les modèles d’IA de manière reconnaissablement humaine. Ils font des fautes de frappe, changent brusquement de sujet, posent des questions de suivi basées sur les réponses du modèle et font généralement preuve de cette curiosité désordonnée et non linéaire qui caractérise l’exploration intellectuelle authentique. Les requêtes de distillation automatisées, en revanche, suivent des schémas systématiques. Elles couvrent les sujets selon des séquences méthodiques, utilisent des formats de requêtes cohérents et présentent rarement des pivots conversationnels.
Au-delà de l’analyse comportementale, Anthropic a attribué chaque campagne à un laboratoire spécifique avec ce qu’elle a décrit comme une « confiance élevée » grâce à la corrélation d’adresses IP, aux métadonnées des requêtes, aux indicateurs d’infrastructure et, dans certains cas, à la corroboration de partenaires industriels. Les architectures en cluster hydra — des réseaux de milliers de comptes gérés via une infrastructure partagée — laissaient des traces forensiques reliant des comptes apparemment indépendants à des opérations coordonnées.
Anthropic a défini une stratégie de défense à trois niveaux pour l’avenir. Premièrement, des empreintes comportementales et des classificateurs pour détecter les schémas de distillation en temps réel. Deuxièmement, des contrôles d’accès renforcés avec des vérifications plus strictes sur les voies couramment abusées telles que les programmes éducatifs, de recherche et de startups, ainsi qu’une vérification d’identité plus rigoureuse. Troisièmement, le façonnage des réponses — des modifications au niveau du produit et du modèle conçues pour réduire la valeur extractive des sorties pour les modèles élèves potentiels tout en préservant l’utilité pour les utilisateurs légitimes.
Advertisement
La réponse plus large de l’industrie
Anthropic n’était pas seul à découvrir des attaques par distillation. OpenAI avait déjà tiré la sonnette d’alarme onze jours plus tôt. Le 12 février 2026, OpenAI a envoyé une note au Comité spécial de la Chambre des représentants des États-Unis sur la Chine, affirmant avoir observé « une activité indicative de tentatives continues par DeepSeek de distiller les modèles de pointe d’OpenAI et d’autres laboratoires américains de pointe, y compris par de nouvelles méthodes obfusquées ». OpenAI a allégué que des employés de DeepSeek avaient développé des méthodes pour contourner les restrictions d’accès et obtenir les sorties des modèles via des routeurs tiers obfusqués.
Le Google Threat Intelligence Group (GTIG) a confirmé que Gemini avait été soumis à d’importantes tentatives de distillation. Dans une campagne documentée, des attaquants avaient interrogé Gemini plus de 100 000 fois avant que Google n’identifie le schéma. Les requêtes tentaient de contraindre Gemini à produire ses processus de raisonnement complets, l’étendue des questions suggérant une tentative de reproduire la capacité de raisonnement de Gemini dans des langues cibles non anglaises. Google a rapporté avoir utilisé les données des attaques détectées pour renforcer les classificateurs de Gemini, entraînant le modèle à reconnaître quand il est sondé pour sa logique sous-jacente.
La réponse de l’industrie a inclus l’expansion des systèmes de tatouage numérique des sorties qui intègrent des signatures statistiques dans les réponses des modèles, invisibles pour les utilisateurs humains mais détectables dans les données d’entraînement des modèles dérivés. La limitation de débit est devenue plus sophistiquée, allant au-delà de simples plafonds d’appels API pour analyser le contenu en termes de théorie de l’information des séquences de requêtes — un compte envoyant des requêtes avec une information mutuelle anormalement élevée déclenche un examen même s’il reste dans les limites de débit. Certains chercheurs ont exploré l’« empoisonnement des sorties » comme moyen de dissuasion, bien que cette approche reste controversée car elle risque de dégrader l’expérience des utilisateurs légitimes.
Protection de la PI à l’ère des poids ouverts
La crise de la distillation a exposé une tension fondamentale dans l’approche de l’industrie de l’IA en matière de propriété intellectuelle. La protection traditionnelle de la PI logicielle repose sur le maintien du code source propriétaire. Mais les modèles d’IA laissent fuiter leur propriété intellectuelle à chaque réponse générée. Chaque sortie est, en fait, une petite fenêtre sur l’entraînement et les capacités du modèle.
Cela crée ce que les juristes appellent le « paradoxe de l’API » : rendre un modèle disponible via API est à la fois nécessaire pour la viabilité commerciale et suffisant pour l’extraction de propriété intellectuelle. Contrairement aux logiciels traditionnels, où la fonctionnalité peut être observée sans révéler l’implémentation, les modèles d’IA exposent leur implémentation à travers leur fonctionnalité.
Le paysage juridique est flou. Les cadres de propriété intellectuelle existants n’ont pas été conçus pour ce scénario. Le droit d’auteur protège les expressions spécifiques mais pas les idées ou méthodes — et il n’est pas clair si le « style » de raisonnement d’un modèle constitue une expression protégeable. Le droit du secret commercial exige que le détenteur prenne des mesures raisonnables pour protéger le secret, mais comment protéger quelque chose qui doit être partagé pour générer des revenus ? Le droit des brevets évolue trop lentement pour suivre le rythme des cycles de développement de l’IA.
La dimension de la rivalité IA États-Unis-Chine
La controverse de la distillation ne peut être séparée du contexte géopolitique plus large de la compétition technologique sino-américaine. Les États-Unis ont mis en œuvre des contrôles à l’exportation de plus en plus agressifs ciblant le secteur de l’IA chinois, restreignant l’accès aux puces avancées, aux équipements de fabrication et aux services d’informatique en nuage. En janvier 2026, le Bureau of Industry and Security a révisé sa politique de licences d’exportation pour les puces IA, passant à un examen au cas par cas plutôt qu’à une présomption de refus pour les exportations vers la Chine — tout en étendant les exigences pour couvrir l’infrastructure-en-tant-que-service à accès distant.
Ces contrôles ont rendu considérablement plus difficile pour les laboratoires chinois d’IA d’entraîner des modèles de pointe à partir de zéro — mais ils n’ont rien fait pour empêcher la distillation à partir de modèles librement disponibles via API. Cette asymétrie a créé une structure d’incitations perverse. Plus les États-Unis rendent difficile pour les laboratoires chinois de développer leurs propres modèles fondationnels, plus l’incitation à extraire les capacités des modèles américains est forte. La distillation devient non seulement un raccourci économiquement rationnel mais une nécessité stratégique dans un environnement où l’entraînement indépendant est contraint par les embargos sur les puces.
Fin février 2026, DeepSeek, MiniMax et Moonshot AI n’avaient pas répondu publiquement aux allégations d’Anthropic. Les demandes de commentaires de multiples organes de presse étaient restées sans réponse. L’incident a accéléré les appels à Washington pour étendre les contrôles à l’exportation à l’accès aux modèles lui-même — exigeant potentiellement que les entités chinoises obtiennent des licences avant d’accéder aux modèles d’IA américains via API. De tels contrôles représenteraient une escalade significative et pourraient fragmenter l’écosystème mondial de l’IA en blocs concurrents avec une interopérabilité limitée.
Pour l’industrie de l’IA, les guerres de la distillation représentent un moment de vérité. L’hypothèse selon laquelle les fournisseurs de modèles peuvent simultanément offrir un large accès API et protéger leur propriété intellectuelle fondamentale est remise en question. Les solutions — qu’elles soient techniques, juridiques ou géopolitiques — façonneront la structure de l’industrie de l’IA pour les années à venir. Ce qui est clair, c’est que l’ère de l’ouverture naïve touche à sa fin, et que l’ère du contrôle stratégique de l’accès à l’IA a commencé.
Advertisement
🧭 Radar de Décision (Prisme Algérien)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Moyenne — L’écosystème naissant de l’IA en Algérie n’est pas directement impliqué, mais les développeurs et chercheurs algériens utilisant les API de Claude, GPT ou Gemini pourraient faire face à des contrôles d’accès et des vérifications d’identité plus stricts à mesure que les fournisseurs se protègent contre la distillation |
| Infrastructure prête ? | Non — L’Algérie ne dispose pas de modèles d’IA de pointe domestiques ; toute restriction d’accès aux API affecte de manière disproportionnée les pays sans alternatives nationales |
| Compétences disponibles ? | Partiellement — Les chercheurs algériens en apprentissage automatique comprennent les techniques de distillation, mais peu d’organisations ont l’échelle ou la puissance de calcul pour exécuter ou se défendre contre des campagnes de distillation industrielle |
| Calendrier d’action | 6-12 mois — Des contrôles d’accès API plus stricts et des restrictions régionales seront probablement déployés à l’échelle de l’industrie en 2026, affectant potentiellement les utilisateurs algériens |
| Parties prenantes clés | Chercheurs en IA, laboratoires universitaires d’apprentissage automatique, startups construisant sur les API de Claude/GPT/Gemini, Ministère de la Poste et des Télécommunications |
| Type de décision | Éducatif — Comprendre l’évolution du paysage de l’accès à l’IA et ses implications pour la souveraineté technologique |
Sources et lectures complémentaires
- Detecting and Preventing Distillation Attacks — Anthropic
- Anthropic Accuses DeepSeek, Moonshot and MiniMax of Distillation Attacks on Claude — CNBC
- Anthropic Accuses Chinese AI Labs of Mining Claude as US Debates AI Chip Exports — TechCrunch
- Distilling the Knowledge in a Neural Network — Hinton, Vinyals, Dean (arXiv 2015)
- GTIG AI Threat Tracker: Distillation, Experimentation, and Integration of AI for Adversarial Use — Google Cloud Blog
- Anthropic Claims Chinese Companies Ripped It Off Using Its AI Tools — Fortune
- OpenAI Accuses DeepSeek of Distilling US AI Models — Rest of World
🔗 Intelligence Connexe
La course à l’IA Chine-États-Unis : comment DeepSeek et les modèles open source transforment l’industrie
L’IA pour la découverte scientifique : de la prévision météo à la science des matériaux, comment l’IA accélère la recherche
La Course aux Modèles de Raisonnement : Ce que O3, DeepSeek R1 et Gemini Thinking Signifient pour les Entreprises
La guerre des puces IA : la domination de Nvidia, le défi d’AMD et l’essor du silicium sur mesure
Advertisement