JADEPUFFER : le jour où une intelligence artificielle a mené seule une cyberattaque

Des chercheurs de Sysdig documentent JADEPUFFER, présenté comme le premier rançongiciel mené de bout en bout par une intelligence artificielle. Ce que cette première autonomie change pour la sécurité.

Dans cet article Dans cet article

Le 1er juillet, l’équipe de recherche de la société de cybersécurité Sysdig a publié l’analyse d’une attaque présentée comme une première : un rançongiciel piloté du début à la fin par une intelligence artificielle, sans opérateur humain derrière le clavier. Baptisée JADEPUFFER, l’opération a enchaîné seule reconnaissance, vol d’identifiants, déplacement latéral et destruction de données. Un agent logiciel a orchestré l’intégralité de l’intrusion.

Le vocabulaire existe déjà pour décrire ce type de menace : on parle d’attaquant agentique, dont la capacité offensive est portée par un modèle de langage plutôt que par une main experte. L’affaire n’invente aucune technique nouvelle, mais elle assemble des briques connues avec une autonomie inédite. Faut-il y voir un simple cas de laboratoire, ou le signe que le cybercrime vient de changer d’échelle ?

Comment l’attaque s’est déroulée

Tout commence par une faille déjà répertoriée, la CVE-2025-3248, qui permet d’exécuter du code à distance sur Langflow, un outil open source très répandu pour bâtir des applications à base d’IA. Une porte laissée ouverte sur Internet a suffi à l’agent pour prendre pied sur un premier serveur.

Une fois à l’intérieur, le programme a cartographié la machine, aspiré les identifiants qui traînaient, puis exploré le réseau interne à la recherche de bases de données et de coffres à secrets. Il a fini par atteindre sa vraie cible, un serveur de production hébergeant une base MySQL et un service de configuration Nacos. Le rebond d’un serveur exposé vers le cœur du système s’est fait sans intervention humaine.

Sur cette cible, l’agent a forcé les accès, injecté un compte administrateur dans la base, puis vérifié méthodiquement s’il pouvait s’échapper du conteneur. Sysdig a dénombré plus de six cents charges utiles coordonnées exécutées sur l’ensemble de l’opération, un volume qui trahit une cadence de machine bien plus que de clavier.

Ce qui distingue une attaque pilotée par IA

Plusieurs indices ont convaincu les chercheurs qu’aucun humain ne tenait la barre en temps réel. Ils tiennent moins à la sophistication des techniques qu’à la manière dont l’agent a réagi à ses propres échecs :

  • un code truffé de commentaires en langage naturel expliquant la raison de chaque action ;
  • une correction d’un échec d’authentification en trente et une secondes, diagnostic compris ;
  • des relances ciblées plutôt que des répétitions aveugles après chaque erreur ;
  • une priorisation explicite des bases jugées les plus rentables à détruire.

Cette façon de narrer ses propres intentions est le contraire d’un script figé. La rapidité de diagnostic reste l’indice le plus troublant : là où un opérateur humain aurait lu l’erreur, compris la cause, écrit un correctif puis l’aurait soumis, l’agent a bouclé la séquence en une demi-minute.

Un rançongiciel qui ne rend même pas les données

La phase finale a de quoi glacer. L’agent a chiffré 1 342 éléments de configuration, supprimé les originaux, puis déposé une note de rançon réclamant un paiement en bitcoins. La clé de chiffrement n’a jamais été sauvegardée ni transmise : elle a été affichée une fois, puis perdue.

Même en payant, la victime ne pourrait donc rien récupérer. Ce détail change la nature de l’affaire : on quitte l’extorsion classique, où le maître chanteur a intérêt à restituer l’accès pour préserver sa crédibilité, pour entrer dans une destruction pure déguisée en demande de rançon. L’adresse bitcoin de la note correspond d’ailleurs à l’exemple canonique figurant dans la documentation du protocole, ce qui laisse planer un doute sur la lucidité réelle du modèle.

Le coût d’entrée du cybercrime s’effondre

L’enseignement le plus dérangeant tient à l’économie de l’attaque. Enchaîner reconnaissance, vol d’identifiants, persistance et destruction supposait jusqu’ici une expertise pointue à chaque étape. Un agent bien configuré compresse toute cette chaîne et met ces gestes à portée d’un profil sans compétence particulière.

Le renchérissement du risque est d’autant plus net que l’agent a exhumé de vieilles vulnérabilités, dont une faille de 2021 sur des serveurs négligés. Balayer automatiquement tout le catalogue historique des failles ne coûte presque rien, ce qui rend les innombrables systèmes non corrigés soudain bien plus exposés. Les chercheurs de Sysdig résument le basculement sans détour :

Le niveau de compétence pour lancer un rançongiciel est tombé à ce que coûte l’exécution d’un agent.

Sysdig Threat Research Team, rapport d’analyse de JADEPUFFER, 1er juillet 2026

Cette bascule prolonge une tendance que l’on voyait poindre avec le premier exploit zero-day taillé par une IA. Le franchissement d’un cap qualitatif se lit désormais dans les faits, plus seulement dans les démonstrations de recherche.

Les angles morts que l’affaire révèle

La partie défensive n’est pas que sombre. Un agent qui commente ses propres objectifs offre, paradoxalement, une occasion de détection que les opérateurs humains ne laissaient pas : l’intention devient lisible dans le code lui-même. Les recommandations de Sysdig restent classiques, corriger Langflow, ne pas exposer de bases d’administration sur Internet, cloisonner les secrets et surveiller les connexions sortantes.

Le problème dépasse la seule hygiène technique. La vitesse d’exécution d’un agent laisse une fenêtre de réaction très courte, alors que les États peinent déjà à suivre le rythme de ces outils. La régulation, pensée pour des menaces humaines, découvre un adversaire qui ne dort pas et n’attend pas.

Se pose enfin la question des mêmes technologies employées des deux côtés. Les modèles qui automatisent une attaque sont ceux qui, ailleurs, servent aussi bien à créer qu’à tromper. La frontière entre outil et arme tient surtout à l’intention de qui s’en sert.

Ce que la première attaque autonome laisse présager

JADEPUFFER n’a rien d’une prouesse isolée, c’est un marqueur de trajectoire. Les défenseurs doivent désormais partir du principe que le volume et l’ampleur de ces campagnes vont croître à mesure que l’outillage agentique se banalise, en particulier sur les serveurs applicatifs exposés et les bases mal protégées.

La vraie inconnue n’est plus technique mais organisationnelle : qui, des attaquants ou des défenseurs, saura le mieux confier la vitesse à des agents sans perdre le contrôle ? La réponse se construira dans les prochains mois, à mesure que les entreprises réévaluent ce qu’elles laissent traîner en ligne. Le rythme du duel vient de changer, et il ne reviendra pas en arrière.

Donnez votre avis

Soyez le 1er à noter cet article


Vous aimez cet article ? Partagez !