Premier ransomware IA : l’agent a exécuté, l’humain a visé

Premier ransomware IA : l'agent a exécuté, l'humain a visé

L’essentiel

  • La société de cybersécurité Sysdig a documenté JadePuffer, présenté comme la première attaque par ransomware dont un agent IA exécute seul toute la partie technique.
  • L’agent a exploité une faille de Langflow, atteint un serveur MySQL, chiffré plus de 1 300 enregistrements et rédigé lui-même sa demande de rançon.
  • Un humain a choisi la victime, monté l’infrastructure de commande et fourni des identifiants volés lors d’une compromission antérieure.
  • Sysdig n’a pas pu identifier le modèle qui pilotait réellement l’agent.

Un agent IA s’est introduit dans une base de données de production, a chiffré plus de 1 300 enregistrements et a rédigé lui-même sa demande de rançon, adresse Bitcoin comprise, sans qu’un humain touche le clavier sur la partie technique. La lecture qui s’impose est celle d’une machine passée à l’attaque toute seule. Elle escamote une pièce du puzzle : la victime avait été choisie et les clés remises d’avance, par une main humaine.

Une intrusion sans génie, mais d’une rapidité inédite

L’affaire est réelle, et techniquement remarquable. La société de sécurité cloud Sysdig a mis au jour une opération d’extorsion baptisée JadePuffer, qu’elle décrit comme le premier cas connu de ransomware « agentique » : un agent IA a pris en charge, seul, l’exécution technique de l’attaque.

Le déroulé est méthodique. L’agent s’introduit via une faille connue de Langflow, un outil open source populaire pour bâtir des applications à base de LLM (grands modèles de langage). Il rebondit ensuite sur un serveur MySQL de production, exploite un autre défaut connu pour décrocher les droits administrateur, puis chiffre plus de 1 300 enregistrements de configuration. Il laisse derrière lui une demande de rançon qu’il a lui-même écrite, adresse Bitcoin comprise.

Ce qui frappe n’est pas la sophistication : les techniques employées sont assez banales. C’est la vitesse et la transparence. D’après Sysdig, l’agent a corrigé un échec de connexion en 31 secondes, en commentant son propre raisonnement en langage naturel, ligne après ligne. Un pirate humain met bien plus longtemps, et ne raconte pas ce qu’il fait.

La cible et les identifiants viennent d’un humain

C’est ici que le récit de la cybercriminalité 100 % autonome se fissure. Michael Clark, directeur de la recherche sur les menaces chez Sysdig, a rétabli le tableau après les premières reprises : un humain était bel et bien dans la boucle, simplement pas sur la partie technique.

C’est lui qui a choisi la victime. Lui qui a monté l’infrastructure : le serveur de commande et de contrôle, le serveur intermédiaire servant à exfiltrer les données. Et surtout, les identifiants qui ont ouvert la base de données n’ont pas été moissonnés par l’agent : ils provenaient d’une compromission antérieure, obtenus séparément, puis remis à l’opération.

Autrement dit, l’agent n’a pas décidé qui frapper, ni par où entrer. On lui a désigné la cible, tendu les clés et allumé le moteur. Il a conduit, vite et proprement, sur une route tracée d’avance.

Le modèle aux commandes reste introuvable

Un détail a d’abord brouillé la lecture : Sysdig a retrouvé des clés d’API pour OpenAI, Anthropic, DeepSeek et Gemini. De quoi imaginer une attaque orchestrée par plusieurs modèles de pointe travaillant de concert. Clark a coupé court : ces clés faisaient partie du butin. L’agent a ratissé l’hôte Langflow à la recherche de tout ce qui avait de la valeur (clés d’API, identifiants cloud, portefeuilles de cryptomonnaie, configurations de bases). Elles disent ce que l’attaquant jugeait bon à prendre, pas ce qui pilotait ses décisions.

Sur ce point, Sysdig reste honnête : l’entreprise n’a pas pu identifier le modèle aux commandes, ni voir son prompt système ou sa configuration. Geoff McDonald, chercheur chez Microsoft, avance une hypothèse : plutôt qu’un modèle de pointe, un modèle à poids ouverts dont on aurait retiré les garde-fous de sécurité. Son argument tient à son expérience de red teaming : les couches de protection des grands laboratoires résistent plutôt bien aux tentatives de détournement. Rien, dans le compte rendu de Sysdig, ne confirme ni n’écarte cette piste.

Se défendre de l’opérateur, pas seulement de l’agent

Pourquoi cette nuance compte-t-elle, au-delà de la précision journalistique ? Parce qu’elle déplace la menace. Si l’on retient « l’IA attaque seule », on se prépare à une vague d’attaques spontanées, sans auteur, impossibles à attribuer. C’est commode, et faux.

La réalité est moins vertigineuse et bien plus actionnable : un opérateur humain a industrialisé une partie de son travail. L’agent est un exécutant qui abaisse le coût et accélère les gestes techniques, la reconnaissance, le déplacement latéral, le chiffrement. Le cerveau, le mobile et le point d’entrée initial, eux, restent humains. Ce partage des tâches n’a rien d’inédit : en novembre dernier, Anthropic révélait avoir stoppé une campagne d’espionnage où son modèle Claude avait mené 80 à 90 % des opérations, mais où des humains choisissaient encore les cibles et validaient les intrusions.

Pour qui défend un système d’information, la leçon est directe. Les portes d’entrée n’ont rien d’inédit : une faille Langflow non corrigée, un serveur MySQL exposé, des identifiants volés qui traînent depuis une brèche précédente. Ce sont les fondamentaux qui cèdent, pas une intelligence surhumaine qui force le passage. Correctifs à jour, rotation des secrets, cloisonnement réseau, surveillance des accès aux LLM internes : la parade reste classique. Ce qui change, c’est le tempo. Une fois entré, l’attaquant automatisé va plus vite que vos alertes.

JadePuffer n’annonce pas la fin des pirates humains. Il annonce des pirates humains outillés, qui délèguent la sueur technique à une machine bavarde et infatigable. Le basculement se jouera le jour où louer un tel agent coûtera moins cher qu’embaucher un complice, et ce jour-là, le ticket d’entrée dans le rançongiciel n’aura jamais été aussi bas.

Mon avis

Le battage autour de « l’IA qui pirate toute seule » arrange trop de monde pour être innocent : il vend de la peur et détourne du seul chantier utile. JadePuffer ne prouve pas qu’une IA malveillante a pris son autonomie, il prouve qu’un attaquant compétent a trouvé un excellent stagiaire. Je m’attends à ce que la prochaine vague ne vienne pas de modèles plus intelligents, mais de kits clés en main mettant ce « stagiaire » entre les mains de délinquants dépourvus de toute compétence technique. C’est la démocratisation de l’outil, pas l’éveil de la machine, qui devrait nous tenir éveillés.

Sources

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *