Une machine a rançonné une entreprise sans qu’aucune main humaine ne touche le clavier. Sysdig, firme de sécurité cloud, l’a nommée JadePuffer, ce que ses chercheurs appellent un agentic threat actor, un acteur autonome qui raisonne seul, corrige seul, détruit seul.
L’attaque a commencé par une porte d’entrée connue, CVE-2025-3248, une faille d’exécution de code à distance sans authentification, frappant Langflow, ce cadre open source servant à bâtir des applications d’IA. Des instances exposées sur Internet, gorgées de clés API et de secrets cloud, sans le moindre contrôle réseau. L’agent est entré par cette brêche, a exécuté du Python encodé en Base64 à travers le point de terminaison vulnérable, puis a moissonné tout ce qui traînait, à savoir des clés d’OpenAI, d’Anthropic, de DeepSeek, de Gemini, des identifiants de bases de données, des portefeuilles de cryptomonnaies.
Le plus glaçant, dans les journaux relevés par Sysdig, c’est que le programme se raconte lui même. Les charges utiles narrent leur propre intention. L’IA écrit en langage naturel ce qu’elle vise, pourquoi et dans quel ordre. Elle réessaie ce qui échoue puis ajuste ses paramètres. Un échec de connexion, une analyse de l’erreur, une correction fonctionnelle… trente et une secondes suffisent. Trente et une secondes pour passer de l’échec à la réussite, là où un opérateur chevronné aurait consommé des heures.
L’agent IA a fouillé le réseau interne après avoir vidé la base PostgreSQL de Langflow, cherchant les stockages, les coffres à secrets, jusqu’à trouver un serveur d’objets MinIO où d’autres identifiants dormaient dans des fichiers de configuration. Pour rester, il a planté un cron job sur le serveur compromis, une tâche qui rappelait toutes les trente minutes une infrastructure sous contrôle des attaquants. La persistance, comme un souffle qui revient.
Le vrai but attendait sur un serveur de production exposé, tournant sous MySQL et Alibaba Nacos, le service de nommage et de configuration. Avec des identifiants root MySQL dont nul ne connaît l’origine, l’agent a exploité simultanément plusieurs faiblesses d’authentification de Nacos, dont CVE-2021-29441, une vieillerie de 2021. Un compte administrateur inséré en douce. Puis la destruction. Les 1342 éléments de configuration de Nacos, chiffrés, les originaux effacés.
La rançon est un piège sans issue, et c’est là que l’histoire bascule dans l’absurde froid. La clé AES fut générée en base64(uuid4().bytes + uuid4().bytes), pur hasard, affichée à l’écran puis jamais sauvegardée, jamais transmise. La victime ne récupérera rien, même en payant. L’exfiltration promise ? L’affirmation de l’agent lui-même. L’adresse IP 64.20.53.230 n’apparaît nulle part ailleurs, aucune trace qu’une seule donnée y ait été copiée. On paie dans le vide.
« Le seuil de compétence pour lancer un ransomware est tombé à ce que coûte l’exécution d’un agent, et si cet agent tourne sur des identifiants volés par LLMjacking, le coût pour l’attaquant approche de zéro », écrit Michael Clark, directeur senior de la recherche sur les menaces chez Sysdig. Aucune des techniques n’était neuve. Aucune n’était sophistiquée. Ce que l’IA a fait, elle les a enchaînées, seule, en une opération complète contre une infrastructure négligée.
Heath Renfrow, cofondateur et RSSI de Fenix24, prévient que l’ère des acteurs agentiques rogne le temps de réaction des défenseurs. « Si un agent IA peut compresser en quelques minutes ce qui demandait plusieurs heures à un opérateur expérimenté, les défenseurs perdent un temps précieux », dit-il. Le remède qu’il oppose ne change pas, du moins pour l’instant, à savoir le correctif rapide des systèmes exposés, l’identité protégée, le moindre privilège, la segmentation, la surveillance continue.
Les premiers à s’en emparer seront ceux qui savent déjà relier des modèles à des outils offensifs, à des identifiants dérobés. Ensuite l’outillage se packagera, deviendra réutilisable, descendra vers les opérateurs médiocres. Les groupes criminels adoptent vite, eux, n’ayant ni procédures d’achat ni conformité à respecter.
JadePuffer est un seuil franchi, un présage. La machine a raisonné, volé, s’est déplacée, a détruit, et s’est racontée tout du long. Reste cette question qui hante les serveurs oubliés sur Internet. Combien d’autres tournent en silence ?

