Cybersécurité

Un agent IA a mené une attaque ransomware seul, mais avait besoin d’un humain

Adrian Kessler

Le rançongiciel qui vient de faire la une de la cybersécurité n’était pas piloté par un pirate derrière un terminal. Un agent d’IA a pris en charge de manière autonome chaque étape technique de l’attaque — cartographie de la cible, vol d’identifiants, déplacement entre les systèmes et chiffrement de plus d’un millier d’enregistrements en base de données. Ce qu’il n’a pas pu faire, c’est mettre en place sa propre infrastructure de paiement ou envoyer la demande de rançon.

La société de sécurité cloud Sysdig a documenté l’intrusion, qu’elle a nommée JadePuffer. L’agent a obtenu l’accès via CVE-2025-3248, une faille d’exécution de code à distance non authentifiée dans Langflow, un framework open-source utilisé pour construire des applications basées sur l’IA. Depuis ce point d’entrée, il a balayé l’environnement à la recherche de clés API, de jetons d’accès cloud et d’identifiants de bases de données, puis s’est déplacé vers un serveur MySQL de production et a chiffré 1 342 éléments de configuration stockés dans Nacos — un registre de services d’entreprise largement utilisé dans les infrastructures d’origine chinoise.

Le détail le plus frappant n’est pas l’ampleur de l’attaque, mais son autocorrection. Lorsqu’une tentative de falsification d’identifiants administrateur a échoué en raison d’une erreur de configuration de chemin, l’agent a diagnostiqué la cause racine, écrit un script de correction en 15 étapes et l’a exécuté en 31 secondes. C’est trop rapide pour qu’un opérateur humain ait pu diagnostiquer, scripter et exécuter un correctif — le comportement pointe vers un véritable raisonnement en temps réel plutôt que vers des playbooks scriptés.

Tout cela ne signifie pas que les opérations de rançongiciel sont sur le point de fonctionner sans humains. L’attaque a tout de même nécessité qu’un humain configure le serveur de commande et de contrôle, enregistre l’adresse de contact de la rançon sur ProtonMail et construise l’infrastructure avant le déploiement de l’agent. La clé de chiffrement générée par JadePuffer n’a jamais été stockée ni transmise — ce qui signifie que les victimes ne peuvent pas récupérer leurs données même si elles paient, une faille qui reflète soit une mauvaise conception opérationnelle, soit une indifférence à la négociation post-attaque.

Ce que JadePuffer documente en réalité, c’est une réduction des coûts, pas un transfert de responsabilité. Chaque étape qui nécessitait auparavant une expertise spécialisée — mouvement latéral, élévation de privilèges, énumération de bases de données, correction d’erreurs en temps réel — peut désormais être déléguée à un agent. La conclusion de Sysdig est directe : le niveau de compétence requis pour les opérations de rançongiciel est tombé à ce qu’il en coûte pour faire fonctionner un modèle de langage.

L’attaque ciblait les installations de Langflow exposées à Internet. Environ 7 000 instances vulnérables ont été signalées au moment où la CVE de Langflow a été rendue publique. Toute organisation exécutant Langflow, Nacos ou une infrastructure LLM open-source similaire non corrigée sur des serveurs exposés à Internet se trouve dans la même fenêtre d’exposition. Ce n’est pas un conseil nouveau ; c’est la même directive de posture qui préexistait aux agents d’IA. La différence est que l’opérateur qui sonde ces services exposés fonctionne désormais automatiquement.

La vulnérabilité de Langflow a été corrigée en avril 2025. Sysdig a publié des indicateurs de compromission complets, y compris les adresses IP du C2 et l’adresse de contact de la rançon. La CISA a un projet de directives sur les contraintes des systèmes d’IA agentiques attendu plus tard cette année — la question de savoir où s’arrête l’autorité d’un agent d’IA déployé et où commence la responsabilité n’a pas encore produit de politique.

Étiquettes: , , , , ,

Discussion

Il y a 0 commentaire.