First AI Ransomware Attack: Humans Remain Essential

Le brief IA que les pros lisent chaque soir
Les 7 actus IA du jour, décryptées en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Première attaque par ransomware IA : l'humain reste indispensable
La semaine dernière, des chercheurs de la société de sécurité cloud Sysdig ont documenté le premier cas connu de ransomware agentique. Il s'agissait d'une opération d'extorsion, baptisée JadePuffer, dans laquelle un agent IA — et non un humain — a géré l'exécution technique d'une cyberattaque dans le monde réel de A à Z. L'agent a pénétré un serveur vulnérable, volé des identifiants, navigué à travers le réseau de la cible, crypté des fichiers, et même rédigé sa propre note de rançon, s'adaptant aux obstacles rencontrés comme le ferait un hacker humain. La couverture médiatique a décrit l'opération comme étant menée “sans aucune supervision humaine”, avec “aucun humain derrière le clavier”.
Cependant, cela ne représente pas tout à fait la réalité. Dans une interview lundi avec CyberScoop, Michael Clark, directeur senior de la recherche sur les menaces chez Sysdig, a précisé qu'un humain était toujours impliqué — mais pas dans l'exécution technique. “Un humain a toujours configuré et dirigé l'opération, et a provisionné l'infrastructure derrière elle, le serveur de commande et de contrôle, le serveur de staging utilisé pour les données volées et a choisi une victime,” a déclaré Clark. Les identifiants utilisés pour pénétrer la base de données de la victime, a-t-il ajouté, n'ont pas été collectés par l'agent IA lui-même ; quelqu'un les a obtenus séparément, par le biais d'une compromission antérieure, et les a remis à l'opération.
Aucun de cela ne contredit la déclaration originale de Sysdig, et les détails techniques de l'attaque restent notables en eux-mêmes — voire impressionnants. L'agent est entré par une vulnérabilité connue dans Langflow, un outil open-source populaire pour créer des applications LLM, puis a accédé à un serveur MySQL de production et exploité une autre faille connue pour obtenir un accès administrateur. Il a crypté plus de 1 300 enregistrements de configuration et a non seulement laissé une note de rançon qu'il a rédigée lui-même, mais a également laissé une adresse Bitcoin où la rançon pouvait être envoyée. Sysdig n'a pas divulgué qui a été ciblé.
Les techniques utilisées étaient apparemment assez ordinaires, ce qui se distinguait était la rapidité et la transparence impliquées. L'agent a corrigé un échec de connexion en 31 secondes, narrating son raisonnement dans des commentaires de code en langage naturel tout au long du processus.
Un détail qui semblait initialement brouiller les pistes a depuis été clarifié. Clark avait déclaré à CyberScoop que Sysdig avait trouvé “plusieurs modèles utilisés dans l'attaque”, citant des clés récoltées pour OpenAI, Anthropic, DeepSeek, et Gemini — un langage qui laissait ouverte la question de savoir si plusieurs modèles alimentaient activement différentes étapes de l'intrusion. Interrogé pour clarifier, Clark a dit à TechCrunch que ces clés faisaient simplement partie de ce que l'agent avait volé, et non la preuve de ce qui le pilotait.
“L'agent a balayé l'hôte Langflow à la recherche de tout ce qui avait de la valeur — clés API de fournisseur, identifiants cloud, portefeuilles de cryptomonnaie, et configurations de base de données — et ces clés de fournisseur faisaient partie du butin,” a-t-il déclaré par e-mail. “Elles indiquent ce que l'attaquant considérait comme digne d'être pris, mais elles ne nous disent pas quel modèle prenait les décisions.”
Concernant le modèle réellement à l'origine de JadePuffer, Clark a déclaré que Sysdig “n'avait pas pu identifier le modèle spécifique pilotant l'agent” et n'a aucune visibilité sur son prompt système ou sa configuration.
La théorie du chercheur de Microsoft, Geoff McDonald, proposée sur LinkedIn il y a quelques jours, mérite d'être revisitée à la lumière de cela. McDonald soupçonnait qu'un modèle à poids ouverts avec une formation de sécurité supprimée, plutôt qu'un modèle de pointe, était à l'origine de l'attaque, basé sur sa propre expérience de red-teaming montrant que les couches de sécurité des laboratoires de pointe tiennent bien. Le récit de Sysdig ne confirme ni n'infirme cela.
Le post de McDonald avertissait également que les campagnes de ransomware sont désormais principalement limitées par le budget de l'attaquant plutôt que par l'effort humain, soulevant la possibilité de “milliers ou dizaines de milliers de campagnes simultanées.” Cette préoccupation est un peu plus difficile à concilier avec ce que Clark a décrit lundi. (Si un humain doit encore choisir chaque victime, provisionner l'infrastructure, et obtenir des identifiants de base de données pour chaque opération, cela constitue un certain goulot d'étranglement, au moins.)
Quoi qu'il en soit, Clark a déclaré à CyberScoop que, bien que Sysdig n'ait pas encore vu la même opération frapper d'autres victimes, étant donné à quel point il est peu coûteux de faire fonctionner un agent, il s'attend à ce que cela change.
Brief IA — L'actualité IA en français
L'essentiel de l'actualité de l'intelligence artificielle, décrypté et expliqué chaque jour.