Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Les équipes de recherche de Microsoft ont conçu un petit agent IA chargé d'une tâche des plus banales : ouvrir une page web et en rédiger le résumé. Elles l'ont dirigé vers une page qu'elles avaient piégée. Au lieu d'un résumé, l'agent a déclenché l'ouverture d'une calculatrice sur l'ordinateur qui l'exécutait. La calculatrice n'était qu'un témoin inoffensif. Lors d'une attaque réelle, il se serait agi de n'importe quelle commande choisie par l'assaillant, lancée avec les droits du développeur lui-même.
Baptisée AutoJack et dévoilée le 18 juin 2026, la démonstration vaut moins pour la calculatrice que pour la frontière qu'elle franchit. Depuis des décennies, les logiciels tiennent le localhost, l'adresse interne d'une machine, pour un espace de confiance par nature. AutoJack établit qu'à partir du moment où un agent IA installé sur cette machine peut naviguer sur le web ouvert, cette confiance se dissout.
L'équipe Defender Security Research de Microsoft décrit AutoJack comme l'enchaînement de trois failles présentes dans AutoGen Studio, l'interface open source de prototypage d'AutoGen, le cadre de Microsoft Research destiné à bâtir des systèmes composés de plusieurs agents IA qui coopèrent. Les développeurs s'en servent pour relier des modèles à des outils et mener des expériences rapides. Un point mérite d'être posé d'emblée, car il borne la portée de l'affaire : les chercheurs ont signalé la faille en interne, les mainteneurs l'ont corrigée avant toute publication officielle, et Microsoft n'a relevé aucune exploitation dans la nature. Seuls étaient exposés les développeurs qui compilaient l'outil directement depuis son code source le plus récent, pendant une courte fenêtre. Le détail technique complet figure sur le blog sécurité de Microsoft.
Le scénario fonctionne parce que trois raccourcis, raisonnables pris isolément, finissent par s'aligner. D'abord, un canal de contrôle local appelé MCP WebSocket (la connexion permanente qui permet à un assistant IA de dialoguer avec des outils externes) n'acceptait que les connexions venues de la machine elle-même. La parade arrête le navigateur d'un inconnu, mais un agent IA qui tourne sur le même poste est la machine : tout ce qu'il charge passe le contrôle sans encombre. Ensuite, le composant censé exiger une authentification ignorait purement et simplement ce canal, en supposant qu'un autre s'en chargerait. Aucun ne le faisait. Enfin, le canal récupérait une commande directement dans son adresse web et l'exécutait, sans la moindre liste des programmes autorisés. Mises bout à bout, ces trois négligences permettent à une page que l'agent se contente de consulter de remettre une commande à la machine, puis de la voir s'exécuter. Les professionnels parlent d'exécution de code à distance, ou RCE : un tiers qui fait tourner son propre code sur votre ordinateur.
Comme la faille a été repérée en laboratoire, aucune entreprise n'en a fait les frais, et autant le dire sans détour : Microsoft présente une preuve de concept, pas une fuite de données. Reste à savoir où loge ce type de risque. Les machines les plus exposées à ce schéma ne sont pas des serveurs durcis au fond d'un centre de données, mais les ordinateurs portables de vos propres développeurs, ceux-là mêmes qui font tourner des agents IA expérimentaux et les pointent volontiers vers une adresse inconnue. Si vos équipes techniques prototypent cette année avec des cadres d'agents, et c'est le cas d'un grand nombre, ces postes réunissent désormais les clés de votre code et un agent qui lira tout ce que le web ouvert lui présente. Le basculement de fond est celui que Microsoft nomme sans détour : le localhost a cessé d'être une frontière de confiance. Toute une génération d'outils de développement a laissé ouverts des ports de débogage, des bases locales et des sockets de contrôle, en partant du principe que seul le propriétaire de la machine pouvait les atteindre. Un agent IA qui navigue sur le web devient un résident d'un genre nouveau sur ce poste, qu'un inconnu peut piloter depuis l'autre bout du monde. Attendez-vous à retrouver le même triangle, un service local puissant, une hypothèse de confiance limitée au localhost et un agent navigateur installé juste à côté, dans bien d'autres outils.
AutoJack tient du coup de semonce, pas du bilan de victimes. Microsoft l'a conçu, cassé, puis aidé à corriger avant même que le code vulnérable ne soit diffusé. Si la démonstration mérite une place dans votre prochaine revue de sécurité, c'est pour le schéma qu'elle dévoile, pas pour la faille isolée. Dès l'instant où vous installez un agent IA sur une machine et le laissez lire l'internet ouvert, chaque service local discret de cette machine devient une cible qu'un tiers peut tenter d'atteindre à travers lui. Posez donc une question simple à propos des portables de vos développeurs : si l'un de ces agents ouvrait demain la mauvaise page, qu'est-ce qui, sur la machine, continue de croire que le localhost est digne de confiance ?


