IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un agent IA mène la « première » attaque par ransomware de bout en bout, de l'exploitation d'une faille de sécurité à l'extorsion finale de fonds,
Les chercheurs alertent sur une menace de sécurité majeure

Le , par Mathis Lucas

387PARTAGES

5  0 
Un agent IA mène la « première » attaque par ransomware de bout en bout, de l'exploitation d'une faille de sécurité à l'extorsion finale de fonds
les chercheurs alertent sur une menace de sécurité majeure

Les agents IA peuvent désormais combiner des techniques d’exploitation connues avec un raisonnement en temps réel pour automatiser des intrusions complexes en plusieurs étapes. Les experts ont découvert JadePuffer, identifié comme le premier logiciel de ransomware entièrement piloté par une IA. Contrairement aux cyberattaques classiques, cet agent autonome a géré seul toutes les étapes de l'agression, de l'exploitation d'une faille de sécurité à l'extorsion finale de fonds. En infiltrant des serveurs vulnérables, l'agent autonome a démontré une capacité inédite à adapter son code en temps réel afin de surmonter les obstacles techniques.

Les chercheurs en sécurité de Sysdig rapportent que les agents IA peuvent désormais mener des cyberattaques de bout en bout. Cette évolution introduit une nouvelle menace majeure pour la sécurité des systèmes d'information. Sysdig est une plateforme de sécurité et de monitoring pour les environnements cloud-native, en particulier les conteneurs (Docker), Kubernetes et le cloud en général. Sysdig est né d'un outil open source du même nom.

Les experts de Sysdig ont identifié ce qu'ils considèrent comme « la toute première infection par rançongiciel entièrement orchestrée par un grand modèle de langage (LLM) », sans la moindre intervention humaine continue. Surnommé JadePuffer, cet agent autonome a mené l'intégralité de l'opération d'extorsion, depuis l'accès initial jusqu'à la compromission d'un serveur de base de données en production et à la destruction irréversible des données.

Les experts soulignent un danger majeur : l'outil a détruit les données de manière irréversible, rendant toute récupération impossible même après paiement. Cette évolution marque une baisse significative du coût et des compétences nécessaires pour lancer des opérations de piratage complexes. Les spécialistes recommandent donc de sécuriser les instances d'IA et de limiter leur exposition sur Internet pour contrer ces menaces automatisées.

Mode opératoire et comportement adaptatif de l'agent autonome

Selon le rapport des chercheurs de Sysdig, un acteur malveillant a exploité une vulnérabilité dans Langflow pour accéder à l’instance d’une organisation et l’utiliser à des fins malveillantes dans le cadre d’une attaque par ransomware menée par un agent IA. Langflow est un framework open source basé sur Python et indépendant des modèles. Ce dernier est utilisé pour développer des applications pilotées par des modèles et des workflows d’agents.


L’équipe de recherche de Sysdig a baptisé cet intrus « JadePuffer ». Dans le cadre de cette attaque de ransomware, JadePuffer a exploité la vulnérabilité CVE-2025-3248. Révélée en avril, CVE-2025-3248 est une vulnérabilité critique liée à l’absence d’authentification, avec un score CVSS de 9,8. L’exploitation réussie de cette vulnérabilité critique permet aux attaquants d’exécuter du code Python arbitraire sur l’hôte sur lequel Langflow est exécuté.

(La CISA a signalé que cette faille avait été exploitée début mai.) Selon Sysdig, après que JadePuffer a accédé à l’instance Langflow exposée, l'IA a scanné l'environnement pour collecter divers identifiants cloud, portefeuilles de cryptomonnaies et clés d'API, tout en installant une tâche planifiée pour maintenir un accès persistant toutes les trente minutes. Le comportement de ce grand modèle de langage s'est révélé « particulièrement sophistiqué ».

« La caractéristique la plus frappante, cependant, était le comportement de ce modèle de langage », a déclaré Michael Clark, directeur de la recherche sur les menaces chez Sysdig, dans un article de blogue consacré à ce ransomware « agentique » et à cette opération d'extorsion.

La destruction des données et la fausse promesse de récupération

Selon les informations disponibles, la cible finale de JadePuffer était un serveur de production distinct exposé à Internet, hébergeant une base de données MySQL et un service de configuration Alibaba Nacos. Pour rappel, Nacos est une plateforme open source de découverte de services et de configuration dynamique développée par le géant chinois du cloud Alibaba et utilisée dans les applications de microservices de ce fournisseur de services cloud.


L'agent autonome s'est connecté au port MySQL exposé du serveur à l'aide des identifiants root, bien que Sysdig ignore comment l'attaquant s'est procuré ces identifiants. Ces identifiants n'ont pas été volés dans l'environnement de la victime. JadePuffer a ensuite attaqué Nacos via des vecteurs, notamment une faille permettant de contourner l’autorisation et la falsification d’un token Web JSON valide à l’aide de la clé de signature par défaut de Nacos.

De plus, grâce à son accès root à la base de données, le modèle a injecté un administrateur de porte dérobée dans la base de données sous-jacente de Nacos. Il a finalement chiffré l’ensemble des 1 342 éléments de configuration des services Nacos à l’aide de la fonction de chiffrement AES intégrée à MySQL, puis a rédigé une demande d’extorsion, une note de rançon, fourni une adresse de paiement en bitcoins et un contact Proton Mail :

« VOS DONNÉES ONT ÉTÉ CHIFFRÉES. Toutes les configurations NACOS, les données client [CENSURÉ] et les informations personnelles identifiables [CENSURÉ] ont été chiffrées avec AES-256. », « 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy », « e78393397[@]proton[.]me ». Cependant, selon les chasseurs de menaces, la victime ne peut pas récupérer les données chiffrées, même si elle payait la rançon demandée, car l'agent IA les a supprimées.

La clé de chiffrement a été générée de manière aléatoire, mais n’a jamais été conservée ni transmise, ce qui a rendu la récupération des données pratiquement impossible. « Les charges utiles capturées montrent que le modèle de langage est passé de la suppression au niveau des lignes à la suppression de schémas de bases de données entiers, tout en expliquant sa propre logique de ciblage », ont écrit les chercheurs en sécurité de Sysdig.

Mesures de sécurité recommandées et implications pour l'avenir

Pour se prémunir contre cette menace émergente, les experts recommandent de corriger immédiatement les instances Langflow afin de combler la faille CVE-2025-3248 et de ne jamais exposer les points d'exécution de code sur l'Internet public. Il est également impératif de ne pas exposer Nacos, de modifier ses clés secrètes par défaut, et d'éviter de stocker des clés d'API ou des identifiants cloud dans des environnements d'orchestration d'IA.

Bien que les techniques individuelles employées par l'agent IA ne soient pas inédites, leur enchaînement automatisé par une IA marque un tournant. Selon Michael Clark, cette évolution signifie que les barrières techniques pour mener des attaques par rançongiciel ont considérablement baissé. Le coût d'une telle opération devient presque nul pour les cybercriminels s'ils utilisent des identifiants volés pour faire fonctionner leur agent autonome.

Les charges utiles analysées par la société de cybersécurité contenaient des commentaires en langage naturel sur chaque action, ce qui indique qu’il s’agissait de code généré par un modèle. De plus, elles ont montré comment le modèle corrigeait ses actions pour remédier aux échecs et fournir des diagnostics précis.

Sysdig invite les organisations à se tenir prêtes. « Les défenseurs doivent s’attendre à ce que le volume et l’ampleur de ces campagnes augmentent à mesure que les outils d’agents gagnent en maturité, et ils doivent considérer les serveurs d’applications exposés, les référentiels de configuration non sécurisés et les comptes d’administration de bases de données accessibles depuis Internet comme les premières cibles qui seront attaquées », note Sysdig.

Sources : Sysdig, NIST

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la capacité des agents IA à mener des cyberattaques de bout en bout ?
Quelles sont les implications de cette évolution pour les professionnels de la cybersécurité et des organisations ?

Voir aussi

Les modèles d'IA « dangereux » dotés de capacités de piratage avancées sont inéluctables et deviendront bientôt la norme, selon des experts opposés à l'interdiction de Fable 5 d'Anthropic

Les chercheurs en cybersécurité sont mécontents des mesures de sécurité mises en place pour le modèle Fable d'Anthropic, elles augmentent le nombre de faux positifs et bloquent même les requêtes banales

Mythos d'Anthropic a détecté 271 failles de sécurité dans Mozilla Firefox 150, Mozilla affirme que ce nouveau modèle d'IA est « tout aussi performant » que les meilleurs chercheurs en sécurité au monde
Vous avez lu gratuitement 35 563 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !