Pendant des années, la limite rassurante d'un groupe de rançongiciel, c'était le temps humain. Un opérateur devait vous trouver, entrer, apprendre votre réseau, repérer les données qui comptent, puis seulement déclencher. Cela prenait des heures ou des jours, et chaque étape exigeait une personne compétente. JadePuffer a supprimé cette limite. Dans le premier cas documenté publiquement, un agent IA autonome a mené toute l'opération, de l'accès initial à la demande de rançon, sans personne au clavier.
Ce n'est pas une curiosité technique. Cela remet à zéro les hypothèses sur lesquelles reposent vos défenses et votre plan d'incident. Voici ce qui s'est passé, pourquoi cela concerne quiconque porte le risque cyber, et où placer l'effort pour le réduire.
Ce qui s'est réellement passé
L'équipe de recherche de Sysdig, dans une analyse ensuite relayée par la Cloud Security Alliance, a documenté une campagne baptisée JadePuffer. Ce qui en fait une première, ce n'est pas le rançongiciel lui-même, mais l'opérateur : reconnaissance, collecte d'identifiants, mouvement latéral, persistance et chiffrement destructeur final ont tous été exécutés par un agent fondé sur un grand modèle de langage, et non par une personne.
La chaîne d'attaque était banale, sauf sur un point : qui la pilotait.
- L'accès initial est venu d'une instance Langflow exposée sur Internet, exploitée via une faille connue d'absence d'authentification (CVE-2025-3248) qui permettait à un attaquant non authentifié d'exécuter du code arbitraire sur l'hôte.
- L'agent a ensuite travaillé seul. Il a énuméré les services internes, collecté des identifiants cloud et API, établi une persistance, et s'est adapté au fil de l'eau. Quand une API de stockage a renvoyé du XML au lieu du JSON attendu, la charge suivante a réécrit sa propre logique d'analyse pour s'y conformer.
- La finalité était destructrice. L'agent a atteint un magasin de configuration de production, chiffré plus de 1 300 enregistrements, supprimé les tables d'origine, et laissé une demande de rançon en bitcoins.
Un détail révélateur : le code de l'agent se racontait lui-même, truffé de commentaires en langage clair expliquant l'intention de chaque action. Les opérateurs humains annotent rarement leurs attaques ainsi. Les modèles de langage le font par réflexe.
Pourquoi l'équation du risque change
Au-delà de la nouveauté, trois choses comptent pour un propriétaire de risque.
- La barrière de compétence tombe. Un agent IA enchaîne reconnaissance, vol d'identifiants, mouvement latéral et destruction sans que son commanditaire soit expert dans aucune de ces étapes. La population capable de mener une intrusion sérieuse vient de s'élargir à quiconque sait pointer un agent vers une cible.
- L'horloge s'accélère. Une attaque au rythme humain laisse à l'équipe de sécurité une fenêtre pour détecter et réagir. Un agent qui raisonne, s'adapte et pivote en secondes réduit cette fenêtre vers zéro. Un processus de détection qui présume des heures de présence discrète se prépare à une guerre qui ne se joue plus à cette vitesse.
- Cela passe à l'échelle. Un groupe humain choisit une poignée de cibles. Un agent peut viser des milliers de points d'entrée exposés en parallèle, patient et infatigable, sondant chacun de la même façon.
La question, au niveau du conseil, n'est pas « est-ce impressionnant ». C'est : « si une attaque va désormais cinq fois plus vite et n'exige aucune expertise, reste-t-il dans notre défense quoi que ce soit qui suppose le contraire ».
Ce qui a rendu cette attaque possible
La bonne nouvelle, inconfortable, c'est que JadePuffer a réussi grâce à des défaillances parfaitement familières. L'IA a été l'accélérateur, pas la cause première. Chaque maillon de la chaîne est une chose qu'une organisation bien gouvernée cherche déjà à maîtriser.
- Un service inutile était exposé sur Internet. Un outil d'IA low-code, le genre de service qu'une équipe déploie vite et oublie, était accessible depuis n'importe où.
- Une vulnérabilité connue et corrigeable est restée ouverte. CVE-2025-3248 n'était pas une faille zero-day. Un correctif existait. L'exposition tenait à un défaut de correctifs et de visibilité des actifs, pas à un exploit imparable.
- Les identifiants étaient à portée de main. Des clés cloud et API à longue durée de vie, posées sur l'hôte, ont donné à l'agent de quoi se déplacer.
- Un magasin de données critique était joignable et non surveillé. Rien n'a arrêté le parcours d'une application web jusqu'aux données de production, et rien n'a signalé le chiffrement massif à temps.
Relisez cette liste : vous tenez votre plan de mitigation. Chaque défaillance est un contrôle.
Comment réduire votre exposition
Aucune des défenses ci-dessous n'est exotique. Ce qui change à l'ère agentique, c'est la discipline et la vitesse avec lesquelles vous les appliquez, car l'attaquant, lui, n'attend plus.
Réduire la surface d'attaque exposée
On ne peut pas être compromis par un service qu'un attaquant ne peut pas atteindre. Tenez un inventaire vivant de tout ce qui fait face à Internet, et traitez chaque panneau d'administration, plateforme low-code et outil d'IA exposé comme un risque jusqu'à preuve du contraire. C'est précisément le rôle de la gestion de la surface d'attaque externe : découvrir en continu ce que vous exposez vraiment, y compris les actifs que plus personne ne se rappelle avoir déployés.
Corriger vite ce qui est activement exploité
Un agent capable de frapper des milliers de cibles en parallèle réduit à quelques heures la fenêtre entre la divulgation et l'exploitation de masse. Priorisez selon l'exploitation réelle, pas la sévérité brute : tout ce qui figure au catalogue CISA des vulnérabilités activement exploitées sert en ce moment contre de vraies cibles et doit passer en tête de file. CVE-2025-3248 avait un correctif. L'écart était opérationnel.
Verrouiller les identités et les secrets
La puissance de l'agent venait des identifiants qu'il a trouvés. Retirez le carburant : pas de clés à longue durée de vie sur les hôtes, des identifiants courts et à portée limitée, un vrai gestionnaire de secrets, et le moindre privilège appliqué pour que compromettre un service ne livre pas tout le reste. Partez du principe qu'un hôte peut tomber, et concevez pour que cela ne se propage pas.
Segmenter et contenir le mouvement latéral
L'attaque a voyagé d'une application web exposée jusqu'à une base de production parce que rien ne se dressait sur le chemin. La segmentation réseau, un contrôle strict des flux sortants et l'isolement des magasins de données sensibles transforment un point d'appui unique en impasse plutôt qu'en autoroute. Contraindre le mouvement latéral, c'est ce qui convertit une brèche en incident circonscrit.
Détecter et répondre à la vitesse machine
Si l'attaquant agit en secondes, une réponse purement humaine arrive trop tard. Cela suppose une détection comportementale et un EDR réglés pour attraper le comportement, pas seulement la signature, un confinement automatisé capable d'isoler un hôte sans attendre un humain, et des pièges tels que des jetons leurres sur les magasins sensibles, qui se déclenchent dès qu'on y touche. L'objectif : comprimer votre propre boucle de réponse au rythme de l'attaquant.
Garder des sauvegardes qui survivent à l'attaque
JadePuffer a supprimé les tables d'origine. La reprise, et non la prévention, est votre dernière ligne, et elle ne tient que si les sauvegardes sont immuables, conservées hors ligne ou hors de portée de l'attaquant, et surtout testées par une vraie restauration plutôt que par un crochet vert. C'est le cœur d'un plan de continuité qui résiste à une attaque réelle.
Gouverner vos propres outils d'IA et low-code
Le point d'entrée était un outil de développement en IA. À mesure que les équipes adoptent agents, générateurs low-code et plateformes d'IA, chacun devient une surface d'attaque et exige la même gouvernance que tout autre système de production : inventorié, contrôlé en accès, corrigé, et jamais exposé discrètement sur Internet. Votre propre chaîne d'approvisionnement en IA fait désormais partie de votre cartographie des risques.
La question pour le conseil
La bonne réponse au rançongiciel agentique n'est ni la panique, ni un nouveau produit. C'est une version plus aiguisée d'une question que les conseils devraient déjà poser : vu la vitesse et le faible coût des attaques d'aujourd'hui, sommes-nous exposés, et qui est responsable de combler les écarts. JadePuffer n'a rien fait de magique. Il a utilisé un service exposé, une faille non corrigée, des identifiants récupérables et un magasin de données joignable. Ce sont des questions de gouvernance, avec des responsables et des échéances, pas des mystères.
Les organisations qui traverseront cette vague sont celles qui la traitent aujourd'hui comme un enjeu de résilience et de responsabilité, avant que la version pointée vers elles n'arrive, plutôt que comme un problème de détection découvert en plein incident.
Où FortaRisks intervient
Chaque défaillance exploitée par JadePuffer correspond à un contrôle que vous pouvez voir et prouver. FortaRisks vous donne une visibilité continue de votre surface d'attaque externe, pour que les services exposés et les outils oubliés remontent avant qu'un agent ne les trouve, et cartographie vos défenses à travers plus de 30 référentiels dans le module Conformité, transformant les écarts en feuille de route priorisée et chiffrée. Vous voyez où se situe vraiment votre exposition, quoi corriger en premier, et quelles preuves présenter dès maintenant à un conseil, un assureur ou un régulateur.