Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Le 1er juillet 2026, l'équipe de recherche sur les menaces de l'éditeur de sécurité Sysdig a documenté un cas jamais observé jusqu'ici : une attaque par rançongiciel conduite du début à la fin par un agent d'intelligence artificielle, sans qu'aucun humain ne tienne le clavier. Les chercheurs ont baptisé l'opérateur JADEPUFFER. Un grand modèle de langage, le type d'IA qui anime les agents conversationnels, s'est introduit sur un serveur, a dérobé des identifiants, a progressé dans le réseau, s'est ménagé une porte de retour, puis a chiffré et détruit la base de données de production d'une entreprise. Il commentait même chacune de ses actions au fil de l'eau.
Depuis toujours, un rançongiciel suppose une compétence humaine quelque part dans la boucle : quelqu'un aux commandes, ou du moins quelqu'un pour écrire le script que suit le logiciel malveillant. JADEPUFFER fait tomber cette certitude. Si un modèle enchaîne seul les étapes d'une intrusion, l'expertise requise pour lancer une attaque se réduit au prix de location d'un agent IA. Pour tout responsable qui gère encore un serveur qu'il a cessé de surveiller, la donne change.
Le point d'entrée était une faille ancienne, déjà corrigée. JADEPUFFER a exploité la CVE-2025-3248, un défaut d'authentification dans Langflow, un outil open source qui sert à construire des applications et des workflows d'agents IA. La faille permet à quiconque peut joindre le serveur d'y exécuter son propre code Python, sans le moindre identifiant. Elle a été corrigée dans la version 1.3.0 de Langflow et inscrite dès mai 2025 au catalogue des vulnérabilités activement exploitées de l'agence américaine CISA. Des milliers de serveurs n'ont pourtant jamais été mis à jour. Ces machines Langflow constituent une proie de choix, car elles sont exposées sur Internet tout en hébergeant souvent les clés API et les identifiants cloud de l'ensemble des services IA auxquels elles se connectent.
Une fois à l'intérieur, l'agent a opéré à une cadence hors de portée d'un opérateur humain. Il a cartographié la machine, puis l'a passée au peigne fin, en parallèle, à la recherche de secrets : clés de fournisseurs d'IA, accès cloud occidentaux comme chinois, portefeuilles de cryptomonnaie, mots de passe de bases de données. Il a pillé un serveur de stockage MinIO (un système auto-hébergé pour conserver fichiers et sauvegardes) grâce à l'identifiant d'usine minioadmin:minioadmin, que personne n'avait modifié. Il a programmé une tâche destinée à signaler sa présence au serveur de l'attaquant toutes les trente minutes. Puis il a bifurqué vers sa véritable cible : un second serveur exposé, hébergeant une base MySQL et Nacos, l'annuaire de configuration d'Alibaba répandu dans les architectures microservices. Connecté en root, il a pris le contrôle de Nacos au moyen d'un contournement d'authentification de 2021 et d'une clé de signature restée inchangée par défaut depuis 2020, avant d'y greffer son propre compte administrateur.
La preuve la plus nette tient au code lui-même. Les charges d'attaque regorgeaient de commentaires en langage clair justifiant chaque geste, cette narration continue qu'un opérateur humain ne prend jamais la peine d'écrire mais qu'un modèle produit par réflexe. On y trouve un classement des cibles par valeur et la désignation de la « plus grosse » base à détruire. Deuxième signature : la vitesse face à l'échec. Lorsqu'une tentative de connexion administrateur a échoué, l'agent a diagnostiqué la cause exacte et livré un correctif juste, en quinze lignes et plusieurs étapes, en trente et une secondes, bien plus vite qu'un humain ne déchiffre un message d'erreur. Quand une base a refusé d'être supprimée en raison d'une contrainte de clé étrangère, la charge suivante a désactivé ce contrôle avant de recommencer. À chaque fois, un diagnostic précis, et non une relance aveugle.
Le dommage concret se résume à peu de chose : le magasin de configuration de production d'une entreprise, chiffré avec une clé qui n'existe plus et dont les tables de sauvegarde ont été effacées par-dessus. Ce que cet épisode implique pour vous relève d'un déplacement du risque. Pendant des années, on se rassurait en jugeant qu'un serveur négligé, exposé sur Internet, ne méritait pas l'attention d'un attaquant chevronné. Cette assurance a disparu. Un agent peut désormais balayer tout le catalogue historique des failles connues à travers Internet pour une somme dérisoire, si bien que la longue traîne des systèmes non corrigés devient plus vulnérable, et non moins. JADEPUFFER n'a mobilisé aucune technique inédite. Il a enchaîné une faille de 2025, un contournement de 2021, une clé par défaut de 2020 et un identifiant que nul n'avait renouvelé, pour en faire seul une opération d'extorsion complète. Le seuil de compétence du rançongiciel est tombé au prix d'exécution d'un modèle. Et si ce modèle tourne sur des crédits d'IA dérobés, ce coût frôle le néant.
JADEPUFFER est un signal d'alerte, pas une catastrophe. Aucun de ses gestes n'avait rien de brillant. La nouveauté tient à ce qu'un modèle a cousu des techniques banales en une attaque complète contre un serveur oublié, en narrant son propre raisonnement d'un bout à l'autre. Cette narration rend paradoxalement service aux défenseurs, car un agent qui expose ses intentions dans ses propres charges se repère plus aisément qu'un humain discret. Une question mérite d'ouvrir votre prochaine revue de sécurité : si une machine sondait demain chacun de vos serveurs, lequel avez-vous cessé de corriger en supposant que personne ne s'y intéresserait ?


