La semaine dernière, des chercheurs de la société de sécurité cloud Sysdig ont déclaré avoir documenté le premier cas connu de « ransomware agent ». Il s’agissait d’une opération d’extorsion, baptisée JadePuffer, dans laquelle un agent d’IA – et non un humain – gérait l’exécution technique d’une cyberattaque réelle du début à la fin. L’agent s’est introduit dans un serveur vulnérable, a volé des informations d’identification, s’est déplacé sur le réseau de la cible, a crypté des fichiers et a même rédigé sa propre note de rançon, s’adaptant aux obstacles en cours de route comme le ferait un pirate informatique humain. La couverture médiatique du financement l’a décrit comme fonctionnant « sans aucune surveillance humaine », sans « aucun humain au clavier ».
Ce n’est pas tout à fait une image complète. Dans une interview accordée lundi à CyberScoop, Michael Clark de Sysdig, directeur principal de la recherche sur les menaces de l’entreprise, a précisé qu’un humain était toujours très impliqué, mais pas dans l’exécution technique. « Un humain a toujours mis en place et dirigé l’opération et a provisionné l’infrastructure derrière elle, le serveur de commande et de contrôle, le serveur intermédiaire utilisé pour les données volées et la victime », a déclaré Clark. Les informations d’identification utilisées pour pénétrer dans la base de données de la victime, a-t-il ajouté, n’ont pas été collectées par l’agent IA lui-même ; quelqu’un les a obtenus séparément, grâce à un compromis préalable, et les a remis à l’opération.
Rien de tout cela ne contredit l’affirmation initiale de Sysdig, et les détails techniques de l’attaque restent remarquables en eux-mêmes – voire sauvages. L’agent est entré via un bug connu dans Langflow, un outil open source populaire pour créer des applications LLM, puis est passé à un serveur MySQL de production et a exploité une autre faille connue pour obtenir un accès administrateur. Il a chiffré plus de 1 300 enregistrements de configuration et a non seulement laissé une note de rançon qu’il a écrite lui-même, mais il a également laissé une adresse Bitcoin où la rançon pouvait être envoyée. Sysdig n’a pas révélé qui était visé.
Les techniques étaient apparemment assez ordinaires, ce qui ressortait était la rapidité et la transparence impliquées. L’agent a corrigé un échec de connexion en 31 secondes, racontant son propre raisonnement dans des commentaires en code en langage naturel tout au long du processus.
Un détail qui semblait au départ brouiller les cartes a depuis été clarifié. Clark avait déclaré à CyberScoop que Sysdig avait découvert que « plusieurs modèles avaient été utilisés dans l’attaque », citant des clés récoltées pour OpenAI, Anthropic, DeepSeek et Gemini – un langage qui laissait ouverte la question de savoir si plusieurs modèles alimentaient activement les différentes étapes de l’intrusion. Lorsqu’on lui a demandé de clarifier, Clark a déclaré à TechCrunch que ces clés faisaient simplement partie de ce que l’agent avait volé, et non une preuve de ce qui le conduisait.
« L’agent a balayé l’hôte Langflow à la recherche de tout ce qui avait de la valeur – clés API du fournisseur, informations d’identification cloud, portefeuilles de crypto-monnaie et configurations de base de données – et ces clés de fournisseur faisaient partie du butin », a-t-il déclaré par e-mail. « Ils indiquent ce que l’attaquant considérait comme intéressant de prendre, mais ils ne nous disent pas quel modèle prenait les décisions. »
Concernant le modèle exécutant JadePuffer, Clark a déclaré que Sysdig « n’était pas en mesure d’identifier le modèle spécifique pilotant l’agent » et n’avait aucune visibilité sur l’invite ou la configuration de son système.
La théorie du chercheur Microsoft Geoff McDonald, proposée sur LinkedIn il y a quelques jours, mérite d’être revisitée sous cet angle. McDonald soupçonnait qu’un modèle à poids ouvert avec une formation en sécurité supprimée, plutôt qu’un modèle frontière, était à l’origine de l’attaque, sur la base de sa propre expérience en équipe rouge montrant que les couches de sécurité des laboratoires frontières résistent bien. Le propre compte de Sysdig ne confirme ni n’exclut cette hypothèse.
Le message de McDonald’s a également averti que les campagnes de ransomware sont désormais principalement liées au budget de l’attaquant plutôt qu’à l’effort humain, ce qui soulève la possibilité de « des milliers ou des dizaines de milliers de campagnes simultanées ». Cette préoccupation est un peu plus difficile à concilier avec ce que Clark a décrit lundi. (Si un humain doit encore choisir chaque victime, provisionner l’infrastructure et obtenir les informations d’identification de la base de données pour chaque opération, cela constitue au moins un goulot d’étranglement.)
Quoi qu’il en soit, a déclaré Clark à CyberScoop, même si Sysdig n’a pas encore vu la même opération toucher d’autres victimes, étant donné qu’il est peu coûteux de diriger un agent, il s’attend à ce que cela change.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.

