Ce qu'Alibaba a réellement fait, et pourquoi cela frappe plus fort qu'un différend ordinaire entre fournisseurs

Le 3 juillet 2026, Alibaba a informé son personnel, par une note interne, que Claude Code d'Anthropic serait interdit au travail à compter du 10 juillet. L'entreprise a classé l'outil comme logiciel à haut risque présentant des risques de porte dérobée et a orienté ses salariés vers sa propre plateforme de développement, Qoder. Reuters l'a rapporté en premier, confirmé par le South China Morning Post, TechCrunch et The Information, de sorte que le coeur de l'affaire n'est pas contesté.

Ce qui fait de cela plus qu'une brouille entre groupes, c'est le déclencheur. Des chercheurs en sécurité, à partir d'un fil public de rétro-ingénierie, ont découvert que Claude Code diffusait depuis début avril du code qui inspectait en silence l'environnement local de l'utilisateur - chaînes de fuseau horaire et adresses de proxy ou d'API - de façon à pouvoir signaler si la personne résidait en Chine ou était liée à un laboratoire d'IA chinois. L'ingénieur d'Anthropic Thariq Shihipar l'a décrit sur X comme une expérience lancée en mars pour prévenir l'abus de comptes par des revendeurs non autorisés et pour se protéger de la distillation de modèles, ajoutant que le code avait été retiré le 1er juillet. Quelle qu'ait été l'intention, c'est l'effet qui a fait réagir une grande entreprise.

La vraie nouvelle, c'est que les outils d'IA peuvent désormais savoir qui vous êtes

Ôtez les détails et il reste une généralisation durable. Le logiciel côté client que vous installez pour écrire du code, rédiger des contrats ou faire tourner un agent peut lire assez de votre machine - langue, fuseau horaire, chemin réseau - pour deviner avec assurance qui vous êtes et où vous êtes. Dès lors qu'un fournisseur peut identifier un utilisateur par juridiction, l'accès cesse d'être un simple accord commercial et devient quelque chose qui peut être accordé, bridé ou retiré selon des lignes politiques.

Cela n'a exigé ni décision de justice ni licence d'exportation. Cela a exigé une seule décision produit au sein d'une seule entreprise, livrée dans une mise à jour de routine, découverte des mois plus tard par un tiers. L'écart entre le moment où le marqueur est entré en service et le moment où quelqu'un l'a remarqué est la partie sur laquelle tout exploitant devrait s'attarder. Vous n'êtes pas prévenu à l'avance que votre outil s'est mis à trier vos gens par nationalité.

Le calendrier aiguise le propos. Alibaba poursuit dans le même temps le ministère américain de la Défense pour être retirée de sa liste d'entreprises militaires chinoises, une désignation annoncée en juin. Quand une firme se bat déjà pour prouver qu'elle n'est pas une menace pour la sécurité nationale, découvrir que l'outil d'un fournisseur étranger identifie ses ingénieurs par empreinte n'est pas une nuisance - c'est une pièce à charge dans l'affaire même dont elle cherche à se défaire.

Pourquoi c'est aussi votre risque, quel que soit le côté de la carte où vous vous trouvez

Il est tentant de lire ceci comme une histoire sur la Chine. Ce n'en est pas une. La leçon est symétrique. Si un fournisseur américain peut identifier par empreinte et couper les utilisateurs chinois, alors le même dispositif peut identifier et couper des utilisateurs européens, britanniques ou de tout autre pays le jour où une politique, une sanction ou un litige commercial le rendra opportun. Vous n'êtes pas exempté parce que vous vous entendez bien aujourd'hui avec le gouvernement du pays du fournisseur. Vous êtes exposé à ce que cette relation deviendra demain.

Pour un dirigeant, l'exposition est concrète. Votre chaîne de livraison, votre service d'assistance, votre automatisation interne peuvent tous reposer sur une couche d'IA étrangère que vous ne contrôlez pas et ne pouvez auditer ligne par ligne. Une seule mise à jour peut changer ce que fait cette couche. Un seul revirement de politique peut changer si elle vous sert encore. La continuité, non l'idéologie, est la raison de s'en soucier : la question est simplement de savoir si votre entreprise continue de tourner quand les intérêts du fournisseur et les vôtres divergent.

L'argument de continuité en faveur d'un repli souverain ou auto-hébergeable

La réponse n'est pas de renier les modèles étrangers performants - beaucoup sont excellents et il n'y a nulle vertu dans de moins bons outils. La réponse est l'optionnalité. Gardez un repli que vous pouvez héberger vous-même ou qui vit sous une juridiction en laquelle vous avez confiance, câblé dans les mêmes flux de travail, de sorte que perdre le fournisseur principal soit une journée dégradée et non une entreprise à l'arrêt. Des modèles à poids ouverts tournant sur votre propre infrastructure, ou un fournisseur européen souverain lié à une loi que vous pouvez nommer, ne sont plus une case de conformité à cocher ; ce sont une police d'assurance contre exactement la manoeuvre qu'Alibaba vient d'opérer en sens inverse.

La souveraineté ici est une discipline d'exploitation, pas un slogan. Elle consiste à savoir où tourne votre IA critique, qui peut la révoquer et à quelle vitesse vous pourriez basculer. Les firmes capables de répondre à ces trois questions traitent une interdiction comme celle d'Alibaba en simple contretemps. Les firmes incapables d'y répondre l'apprennent à la dure, selon le calendrier d'un autre.