Cross-tenant isolation : quand une IA vous montre les conversations d’un autre utilisateur
Le 5 juin 2026, en pleine panne partielle d’infrastructure, plusieurs utilisateurs de Claude.ai ont vu s’afficher dans leur interface des conversations qui n’étaient pas les leurs. Anthropic a confirmé l’incident dans un rapport publié le 8 juin. Ce type de défaillance porte un nom en sécurité cloud : un cross-tenant isolation failure. Il est considéré comme l’une des classes de vulnérabilités les plus sévères pour une plateforme mutualisée. Voici ce que cet épisode révèle, et ce que les entreprises françaises qui utilisent des IA en B2B devraient en tirer.
Le fait : le 5 juin 2026, certains utilisateurs de Claude.ai ont brièvement vu s’afficher des conversations appartenant à d’autres utilisateurs, pendant une panne partielle d’infrastructure.
Le concept : on parle de cross-tenant isolation failure, c’est-à-dire l’échec du mécanisme qui doit empêcher un locataire d’un service cloud d’accéder aux données d’un autre locataire.
Le risque : ce type de défaillance est classé parmi les plus sévères car il casse le contrat de confiance fondamental d’une plateforme multi-tenant (CWE-668, MITRE ATLAS AML.T0043).
La réponse : pour les entreprises, l’audit d’architecture (BYOK, hébergement dédié, chiffrement bout-en-bout) devient un prérequis avant tout déploiement d’IA sur des données sensibles.
Que s’est-il passé le 5 juin 2026 chez Anthropic ?
Le 5 juin 2026, Anthropic opérait une bascule d’infrastructure côté Claude.ai. Une partie du trafic a été mal routée pendant une fenêtre courte mais suffisante pour qu’un sous-ensemble d’utilisateurs voient, à l’ouverture d’une conversation existante, l’historique d’un autre compte. Le bug a été détecté en moins de 25 minutes, le trafic a été redirigé, et Anthropic a publié un rapport d’incident le 8 juin 2026 sur sa page Status.
D’après les éléments publiés par Anthropic et repris par Cybernews, aucun prompt, aucune clé d’API et aucun fichier uploadé n’aurait été affecté : seul l’affichage de l’historique de conversation a été perturbé. La société indique avoir suspendu l’accès aux conversations pour les comptes concernés et procédé à un audit interne.
Pour les utilisateurs gratuits et Pro impactés, c’est gênant. Pour les équipes B2B qui font transiter par Claude ou un service similaire des données clients, du code, des brouillons juridiques ou des notes internes, c’est un signal d’alerte structurel : si une plateforme d’IA grand public peut vous montrer les conversations d’un autre utilisateur, c’est que son architecture d’isolation n’est pas infaillible.
Dans une plateforme cloud, chaque client est un tenant (locataire). L’isolation entre tenants est l’ensemble des mécanismes qui garantissent qu’un tenant ne peut pas lire, écrire ou voir les ressources d’un autre tenant. En pratique, cette isolation repose sur plusieurs couches :
Le request router (équilibrage de charge), qui attribue chaque requête à un backend.
Le cache key, qui indexe les résultats par tenant et par session pour éviter les collisions.
Le storage namespace (base de données, blob storage), qui sépare physiquement ou logiquement les données par tenant.
Le connection pool, qui gère les connexions réseau mutualisées entre plusieurs tenants.
Un cross-tenant isolation failure survient lorsqu’une de ces couches dérive : un cache key mal construit, un router qui prend en compte un identifiant de session au lieu d’un identifiant de tenant, un pool de connexions qui réutilise une socket entre deux utilisateurs, ou encore une migration de schéma qui perd un filtre de partition.
La base de données MITRE classe ce type de défaut sous la référence CWE-668 (Exposure of Resource to Wrong Sphere). La matrice MITRE ATLAS, qui modélise les menaces sur les systèmes d’IA, le range dans la tactique AML.T0043 (Craft Adversarial Data) et AML.T0025 (Exploit Public-Facing Application).
Pourquoi ce type de faille est-il considéré comme “sévère” ?
Une fuite de données classique (compromission d’un compte admin, exfiltration d’une base) reste contenue à un périmètre : l’attaquant récupère un volume de données, mais l’incident est borné dans le temps et dans la surface.
Un cross-tenant isolation failure est plus inquiétant pour trois raisons :
Pourquoi c’est sévère
Surface imprévisible : on ne sait pas a priori quels tenants ont été exposés, ni pendant combien de temps, ni si la fuite a été observée par d’autres utilisateurs.
Effet domino : sur les plateformes B2B, une même session peut agréger des données de plusieurs utilisateurs d’un même compte client. Le blast radius dépasse souvent le compte final.
Secret professionnel : dans le cas d’un avocat, d’un médecin ou d’un DAF qui utilise un assistant IA pour reformuler une note, l’historique peut contenir des éléments couverts par le secret professionnel, sans que l’utilisateur le sache.
Pourquoi ce n’est pas “la fin du cloud”
Détection rapide : ces incidents sont en général détectés en quelques minutes, contre plusieurs semaines pour une fuite classique.
Surface limitée : le rapport Anthropic précise qu’aucune donnée d’API ni fichier uploadé n’a été compromis, ce qui est cohérent avec une défaillance de cache ou de router, pas de stockage.
Réversibilité : un patch de router ou de cache key se déploie en quelques heures, contre des semaines pour revoquer des identifiants compromis.
Quels sont les précédents en 2022-2026 ?
Le secteur cloud n’a pas attendu Anthropic pour rencontrer ce type d’incident. Voici les précédents les plus documentés :
🔍 Cartographie du risque : précédents cross-tenant (2022-2026)
OpenAI / ChatGPT Plusmars 2023
Bug d’affichage : certains utilisateurs Pro voyaient l’historique de conversation et les informations de facturation d’un autre utilisateur actif au même moment. OpenAI a coupé l’accès aux conversations pendant 24h et procédé à un patch du cache de session.
AWS / SageMakerjanvier 2024
Faille de notebook partagé : un utilisateur pouvait, dans certains cas, exécuter du code dans le contexte d’un autre compte via un bug de configuration de l’environnement Jupyter. Patché en 48h, divulgation coordonnée avec le chercheur.
Azure / Cognitive Searchmars 2024
Vulnérabilité d’index partagé : un client mal configuré pouvait interroger l’index d’un autre tenant. Microsoft a corrigé en 7 jours et renforcé la séparation logique des index par défaut.
GCP / Looker (LeakyLooker)mai 2025
Neuf vulnérabilités découvertes par le chercheur Sam Curry, dont plusieurs permettaient d’accéder aux dashboards Looker d’autres organisations via des endpoints mal protégés. Divulgué après patch complet, aucun signe d’exploitation active.
Anthropic / Claude.aijuin 2026
Incident de bascule d’infrastructure : pendant une fenêtre courte, certains utilisateurs ont vu l’historique de conversation d’un autre compte. Anthropic a publié un rapport d’incident le 8 juin 2026 et a renforcé la validation du routage par tenant.
Le pattern récurrent est presque toujours le même : une couche d’isolation (cache, router, namespace, pool) dérive après un déploiement, une migration ou un pic de charge, et le défaut n’est pas détecté tout de suite car il ne touche qu’un sous-ensemble de requêtes. C’est précisément pour cela que les audits d’architecture red team existent : on ne découvre ces défauts qu’en générant des requêtes malveillantes qui ciblent explicitement les frontières entre tenants.
⚠️
Le point à retenir sur l’isolation cross-tenant
Un cross-tenant isolation failure n’est pas un bug comme les autres. Le contrat de base d’une plateforme multi-tenant est de garantir qu’un client ne peut pas voir les ressources d’un autre client. Quand ce contrat casse, c’est toute la proposition de valeur du service qui est remise en cause, même si la fenêtre d’exposition est courte. Pour une entreprise, c’est l’argument massue pour exiger des éditeurs d’IA des RTO documentés sur les incidents d’isolation, des tests red team réguliers et un engagement de notification sous 24h en cas d’incident confirmé.
Comment une entreprise française peut-elle s’en protéger ?
Le risque zéro n’existe pas en cloud public. Mais on peut réduire la surface d’exposition avec quatre leviers concrets :
Choisir un fournisseur avec un hébergement dédié ou privé
Les grands éditeurs (Anthropic, OpenAI, Google, Mistral, Microsoft) proposent tous des offres Enterprise ou Dedicated avec des instances isolées au niveau de l’infrastructure, pas seulement de la session. Le surcoût (souvent 3 à 5× le prix de l’offre mutualisée) se justifie dès que les données manipulées sont sensibles (santé, droit, finance, R&D).
Mettre en place du BYOK (Bring Your Own Key)
Le principe : l’entreprise garde le contrôle de la clé de chiffrement de ses données, et la plateforme ne peut pas lire les prompts ni les réponses sans cette clé. En cas d’incident d’isolation, les données d’autres tenants sont illisibles côté entreprise. Compatible avec Azure OpenAI Service, AWS Bedrock, GCP Vertex AI, et désormais avec plusieurs offres européennes (Mistral, Aleph Alpha, Nscale).
Auditer l’architecture avec un red team IA
Un audit red team IA ne se limite pas à tester le prompt : il inclut des tests d’isolation (un compte A tente d’accéder à des ressources du compte B), des tests de cache poisoning, et des tests de fuite par canal latéral (timing, taille de réponse, jeton d’erreur). Le coût d’un audit ponctuel varie de 15 à 50 k€ pour une PME, 80 à 200 k€ pour un grand groupe.
Exiger des engagements contractuels sur la notification d’incident
Le RGPD impose une notification sous 72h en cas de violation de données personnelles. Pour un incident d’isolation qui n’est pas une “violation” au sens juridique strict, l’éditeur n’est pas tenu de notifier. D’où l’intérêt d’un avenant contractuel imposant une notification sous 24h dès qu’un cross-tenant isolation failure est détecté, même sans impact démontré.
Faut-il s’inquiéter si on utilise ChatGPT, Claude ou Copilot en B2B ?
Non, pas de panique. Mais il faut arrêter de confondre usage personnel et usage professionnel. Pour un usage ponctuel, non sensible, l’offre mutualisée reste acceptable. Pour un usage régulier sur des données à caractère personnel, du code source, des données financières ou toute information couverte par un secret professionnel, l’offre mutualisée n’est pas dimensionnée pour le risque.
La bonne métrique n’est pas “est-ce que mon fournisseur a déjà eu un incident ?” (tout le monde en a eu, tôt ou tard), mais “est-ce que mon fournisseur le détecte vite, le déclare vite, et m’aide à m’en protéger ?” Anthropic a publié son rapport d’incident en moins de 72h. C’est un signal positif sur la transparence, pas sur la sécurité elle-même.
L’épisode du 5 juin 2026 doit être lu comme un rappel, pas comme un procès. Le cloud mutualisé reste le modèle économique dominant, et ses avantages (coût, mise à l’échelle, accessibilité) restent réels. Mais pour les entreprises qui manipulent des données sensibles, l’isolation n’est plus un acquis : c’est une décision d’architecture, pas un paramètre par défaut.
C’est quoi un tenant dans le cloud ? ▼
Un tenant, c’est l’unité de séparation logique entre clients sur une plateforme cloud mutualisée. Chaque client (ou chaque compte client) est un tenant. Les mécanismes d’isolation garantissent qu’un tenant ne peut pas accéder aux ressources (données, calcul, stockage) d’un autre tenant. Sur une plateforme d’IA grand public comme Claude.ai ou ChatGPT, chaque utilisateur gratuit ou Pro est un tenant.
Le cross-tenant isolation, c’est la même chose qu’un bug de cache ? ▼
Un bug de cache est l’une des causes possibles d’un cross-tenant isolation failure, mais pas la seule. Le défaut peut aussi venir du request router, du storage namespace, du connection pool, ou d’une migration de schéma. La cause technique varie, mais la conséquence est la même : un tenant accède aux ressources d’un autre tenant. C’est ce qu’on appelle une défaillance d’isolation, indépendamment du mécanisme qui l’a causée.
Anthropic a-t-il confirmé une fuite de données le 5 juin 2026 ? ▼
Anthropic a confirmé un incident d’affichage pendant une fenêtre courte, qui a conduit certains utilisateurs à voir l’historique de conversation d’un autre compte. La société précise qu’aucune clé d’API, aucun fichier uploadé, ni aucune donnée de facturation n’a été affectée. Le rapport d’incident a été publié le 8 juin 2026 sur la page Status d’Anthropic. Il s’agit donc d’un défaut d’isolation, pas d’une fuite de données au sens RGPD du terme.
Le BYOK protège-t-il vraiment en cas d’incident d’isolation ? ▼
Le BYOK (Bring Your Own Key) protège contre la lecture de vos données par l’éditeur de la plateforme, mais pas contre l’affichage accidentel de l’historique d’un autre tenant. Si un cache dérive, le système peut afficher le prompt d’un autre utilisateur, même chiffré de votre côté. Le BYOK est donc une brique nécessaire, mais pas suffisante. Il faut la combiner avec une offre Enterprise ou Dedicated pour réduire la probabilité d’un tel affichage.
C’est quoi CWE-668 et MITRE ATLAS ? ▼
CWE-668 (Exposure of Resource to Wrong Sphere) est une catégorie du Common Weakness Enumeration, la base de données MITRE qui catalogue les classes de vulnérabilités logicielles. MITRE ATLAS est la matrice d’attaque spécifique aux systèmes d’IA, complémentaire de la matrice ATT&CK pour l’IT classique. Les deux référentiels sont utilisés par les RSSI, les auditeurs et les CERT pour classifier et prioriser les risques.
Quelle est la différence entre Mistral, Aleph Alpha et un acteur US comme Anthropic sur ce sujet ? ▼
Les acteurs européens (Mistral, Aleph Alpha, Nscale, Silo AI) sont en général plus avancés sur les engagements contractuels de souveraineté (hébergement en Europe, BYOK natif, audit red team documenté) car c’est un argument commercial face aux acteurs US. Sur le plan technique de l’isolation, le niveau de maturité est comparable, mais la pression réglementaire européenne (RGPD, AI Act, Data Act) pousse les acteurs locaux à documenter davantage leurs engagements.
Alexi Tauzin🤖 Éditeur & Analyste IA
Fondateur d’alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Il suit de près l’évolution de l’IA, des modèles de langage aux agents autonomes, pour aider les professionnels à comprendre et anticiper les transformations du secteur.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
![Claude Opus 4.6 [Avis] - Le nouveau standard en 2026](https://alexitauzin.com/wp-content/uploads/2026/02/claude-opus-4-6-chatgpt-150x150.jpg "Claude Opus 4.6 : l'IA qui pourrait vous faire résilier ChatGPT dès ce matin (voici pourquoi)")