C’est une premiere dans l’histoire de la cybersecurite : des chercheurs de Sysdig ont mis au jour un ranconnage pilote integralement par une intelligence artificielle, sans aucun humain pour superviser les operations. Baptise JADEPUFFER, ce malware a exploite une faille critique d’un serveur Langflow pour mener reconnaissance, vol d’identifiants et destruction de donnees en toute autonomie.
Michael Clark, directeur de la recherche sur les menaces chez Sysdig, a documente chaque etape de cette attaque inedite. L’agent IA a commence par cartographier sa cible, cherche des secrets en parallele, puis a vide une base PostgreSQL pour recuperer identifiants et cles d’API. Rien de vraiment neuf dans la technique, si ce n’est qu’aucun humain n’a tenu les renes.
La porte d’entree ? Une vulnerabilite de Langflow, framework open source destine a construire des applications d’IA. Referencee CVE-2025-3248, cette faille critique (9,8 sur 10) permet d’executer du code a distance sans authentification. Langflow avait pourtant publie un correctif en avril 2025. Un serveur a jour aurait bloque l’attaque, ce qui relativise la sophistication de l’intrusion : la porte etait grande ouverte, mais l’agent a su l’exploiter seul.
L’IA qui repare son propre code
L’agent a ratisse les cles d’API des grands fournisseurs d’IA comme OpenAI, Anthropic et DeepSeek, ainsi que les acces cloud d’Alibaba, Tencent, Huawei, Amazon et Microsoft. Une fois dans la place, il a exploite une faille connue depuis 2021 pour creer un compte administrateur. Son premier essai a echoue. Mais au lieu d’abandonner, l’IA a analyse l’erreur et genere un correctif en trente et une secondes, sans aucune intervention humaine.
Ce comportement d’auto-reparation est ce qui inquiete le plus les experts. Un ranconnage classique suit un script predefini : si une etape echoue, l’attaque s’arrete ou se degrade. Ici, l’agent a raisonne sur son echec, identifie la cause et modifie son propre code pour contourner l’obstacle. C’est cette capacite d’adaptation en temps reel qui distingue JADEPUFFER des menaces precedentes et ouvre la voie a des attaques capables de contourner des defenses sans intervention humaine.
La phase destructive a suivi : l’agent a programme une tache de persistance qui contactait son serveur toutes les trente minutes, puis a chiffre les donnees. Il a laisse une note de rancon avec une adresse Bitcoin et un email de contact. Sauf que l’IA n’a jamais conserve la cle de chiffrement, rendant toute recuperation impossible, meme apres paiement. L’operation visait donc la destruction des donnees, le gain financier n’etant qu’un bonus hypothetique.
Ce detail est peut-etre le plus revelateur : un ransomware qui ne peut pas restituer les donnees meme si la rancon est payee. Les victimes potentielles n’ont aucun interet a negocier, mais elles ne recupereront rien non plus. Les equipes de securite doivent desormais integrer ce scenario dans leur analyse de risque : une attaque sans point de contact humain, sans intermediaire, sans possibilite de rancon fonctionnelle.
Un basculement pour la securite des serveurs IA
Cette attaque prolonge une tendance identifiee depuis un an. En novembre 2025, Anthropic avait revele une campagne d’espionnage menee a 80-90 % par son IA, mais des humains gardaient la main sur les etapes critiques. JADEPUFFER franchit un cap : aucun humain n’a supervise l’operation, de l’intrusion a l’extorsion. Un expert de Detectify cite par Les Numeriques parle d’une evolution plus que d’une invention : ces techniques existaient deja, mais la difference fondamentale reside dans l’autonomie totale de l’execution.
Michael Clark prevoit une democratisation du ranconnage : le prix d’entree se reduit au cout d’un agent IA, parfois rien du tout avec des cles d’API volees. Ces agents facilitent aussi l’exploitation en masse de vieilles failles oubliees, a tres bas cout. Avec des modeles accessibles comme Fable 5 d’Anthropic, l’automatisation des attaques via IA devient une menace concrete pour les infrastructures exposees sur Internet.
Ce que ça change pour les equipes IT
Pour les professionnels de la securite, JADEPUFFER n’est pas un prototype de laboratoire. C’est une attaque reelle, documentee, qui a fonctionne. Le principal enseignement est qu’un simple serveur Langflow expose sans correctif suffit a offrir un point d’entree a un agent autonome. Les inventaires d’instances IA exposees, les politiques de mise a jour et la segmentation des acces cloud deviennent des priorites immediates.
La capacite d’auto-reparation de l’agent ajoute une couche de complexite inedite : un correctif applique aujourd’hui peut etre contourne demain par un agent qui apprend de ses erreurs. Les equipes doivent desormais anticiper des attaques iteratives, ou l’adversaire ne se contente pas de retenter le meme exploit, mais en invente un nouveau a chaque fois. Bienvenue dans l’ere du red teaming automatise, mais du cote des attaquants.
Les implications pour les equipes IT sont claires : les serveurs Langflow exposes sur le web, qui stockent cles d’API et acces cloud, constituent une cible de choix. Un correctif existe depuis avril 2025, mais son application reste lacunaire. Les responsables securite ont interet a verifier leurs instances des aujourd’hui, avant que d’autres agents IA ne suivent le chemin trace par JADEPUFFER.
