Un chercheur en sécurité a retrouvé l’accès à un portefeuille Bitcoin pour Android après avoir utilisé Claude, le modèle d’intelligence artificielle développé par Anthropic, pour décrypter le code PIN à huit chiffres qui le protégeait.
L’affaire a été documentée par Pavol Lupták, un spécialiste de la cybersécurité, qui a détaillé le processus sur son compte X.
Selon Luptak, Un utilisateur vous a demandé de l’aide pour retrouver l’accès à son portefeuille dans l’application Bitcoin Wallet —disponible publiquement sur GitHub—, où une quantité importante de BTC était stockée. La seule donnée disponible était que le code PIN comportait huit chiffres, représentant 100 millions de combinaisons possibles.
Le chercheur a indiqué avoir demandé à Claude d’analyser le code source de l’application pour comprendre comment le portefeuille était crypté. Le modèle a identifié le mécanisme de protection et établi la séquence d’étapes que chaque tentative doit effectuer pour vérifier si un code PIN était la bonne.
Avec ces informations, Claude a écrit un programme qui testait automatiquement les combinaisons. Lupták souligne que, sur son ordinateur portable, le système a atteint 80 tentatives par secondece qui équivaut à entre deux et trois semaines de travail manuel pour épuiser toutes les possibilités.
Claude intensifie son attaque contre l’infrastructure cloud
En raison de limitations matérielles, l’IA a alors proposé de répartir le travail entre plusieurs serveurs distants. Après avoir reçu les identifiants d’accès à Hetzner Cloud (service de développement cloud), Claude cinq machines provisionnées de manière autonomeles a configurés, a divisé les combinaisons entre les nœuds et a exécuté un programme pour signaler la progression en temps réel.
Selon le récit de Lupták, le code PIN a été trouvé après 14,5 heures de fonctionnement. Le chercheur affirme qu’à aucun moment il n’a examiné le code généré par l’IA pour l’algorithme ni accédé directement aux serveurs : “J’ai seulement attendu le résultat, que j’ai obtenu du premier coup.” Le temps d’activité total de Claude n’a pas dépassé une demi-heure.
L’affaire fait partie d’une tendance qu’Anthropic elle-même a documentée. En décembre 2025, comme le rapporte CriptoNoticias, la société a publié une expérience dans laquelle des agents d’IA ont réussi à exploiter les vulnérabilités de vrais contrats intelligents sur des réseaux tels que Ethereum et BNB Chain. Les pertes simulées s’élevaient à près de 550 millions de dollars.
Dans cette étude, les modèles ont généré des attaques fonctionnelles contre 51,1 % des 405 contrats évalués.
Lupták conclut que la capacité de Claude pour combiner analyse de code, programmation et gestion d’infrastructure réduit le temps nécessaire pour ce type d’opérations de quelques semaines à quelques heures.
Le facteur déterminant, selon le chercheur, n’était pas une défaillance de l’application mais une limitation d’origine : un code PIN à huit chiffres n’offre pas une protection suffisante lorsque l’attaquant dispose d’une puissance de calcul suffisante.
