Sysdig révèle une attaque de ransomware automatisée par l’IA aux États-Unis
2026-07-07 15:31
Favoris

fr.wedoany.com Rapport : La société de sécurité Sysdig a récemment divulgué un cas d’attaque de ransomware entièrement piloté par un agent d’IA, où les attaquants ont utilisé cette technologie pour lancer des attaques automatisées contre des appareils exposés à des vulnérabilités critiques. Le ransomware utilisé dans cette attaque, nommé « JADEPUFFER », a infiltré des serveurs de bases de données via la vulnérabilité CVE-2025-3248 découverte l’année dernière dans le framework open source Langflow.

JADEPUFFER cible les appareils exposés à la vulnérabilité CVE-2025-3248. Cette vulnérabilité permet aux attaquants d’exécuter du code à distance, et le risque est accru car les serveurs Langflow sont généralement connectés à Internet et détiennent des clés API ou des identifiants cloud nécessaires au développement d’applications d’IA. Langflow est un framework open source pour le développement d’applications basées sur de grands modèles de langage, offrant un environnement de création d’applications pratique pour les utilisateurs moins expérimentés.

Après la divulgation de la vulnérabilité, l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) l’a inscrite sur sa liste des « vulnérabilités connues exploitées » et a exhorté à la corriger. Malgré cela, des cas d’exploitation de cette vulnérabilité continuent d’apparaître, ayant été utilisés en juillet dernier pour distribuer des logiciels malveillants de type botnet. Après une intrusion réussie, JADEPUFFER identifie la structure du système, collecte les clés API de divers services d’IA ainsi que les identifiants cloud d’Amazon Web Services (AWS) et d’Azure, puis l’attaque se tourne vers les bases de données MySQL et la plateforme cloud native « Nacos » d’Alibaba Cloud. Une fois connecté à la base de données avec des privilèges d’administrateur, l’attaquant chiffre toutes les valeurs de configuration et laisse un message de rançon.

Lors de son enquête, Sysdig a découvert des preuves que JADEPUFFER était piloté par l’IA. Le processus d’attaque contient de nombreux commentaires en langage naturel expliquant la raison de chaque opération. Sysdig souligne qu’un humain n’ajouterait pas de descriptions détaillées pour un code à usage unique, mais qu’un LLM le fait lors de la génération de code. De plus, la vitesse de modification du code est frappante : même en cas d’erreur, il ne faut que 31 secondes pour modifier le code et réussir la connexion, avec 15 lignes de code concernées, et ce schéma se répète tout au long de la session. Sysdig insiste sur le fait qu’un humain mettrait plus de 31 secondes à lire le message d’erreur, analyser la cause et modifier le code.

Cette attaque montre que les ransomwares ne se limitent plus aux techniciens expérimentés. Auparavant, les attaquants devaient accomplir eux-mêmes l’ensemble du processus : créer le ransomware, exploiter la vulnérabilité et exiger la rançon. Bien que les organisations de ransomware en tant que service (RaaS) aient abaissé la barrière à l’entrée via le dark web, l’intervention humaine persistait. JADEPUFFER a réussi à automatiser le processus d’attaque avec un agent d’IA, et Sysdig prévoit que des attaques similaires se multiplieront.

Sysdig recommande, pour éviter ce type d’attaque, de mettre à jour Langflow vers une version corrigeant CVE-2025-3248 et d’éviter d’exposer les points de terminaison d’exécution de code sur Internet. Il est également conseillé de ne pas utiliser de clés API ou d’identifiants cloud pour exécuter le serveur de contrôle de l’IA.

Ce type de ransomware basé sur l’IA en est encore à ses débuts. Bien que quelques cas similaires aient été confirmés, ils n’ont pas encore atteint le niveau d’automatisation de JADEPUFFER. L’utilisation de l’IA est plus active dans les premières phases d’attaque, comme les e-mails de phishing ou la détection de vulnérabilités. Kim Jun-young, chef de l’équipe Everyzone, a déclaré que certains cas d’attaques automatisées par l’IA ont été confirmés par la recherche mais ne sont pas prédominants, tandis que l’application de l’IA est plus marquée dans les travaux d’intrusion initiaux, comme la création d’e-mails de phishing sophistiqués ou le vol d’identifiants. Il a ajouté que la vigilance des utilisateurs est primordiale, mais qu’il est difficile de bloquer complètement les attaques, et qu’il faut se concentrer sur une récupération rapide, en construisant un système de défense multicouche allant des anti-ransomwares à la sauvegarde des données pour faire face aux ransomwares.

 

Ce texte est rédigé, traduit et republié à partir des informations de l'Internet mondial et de partenaires stratégiques, uniquement pour la communication entre lecteurs. En cas d'infraction au droit d'auteur ou d'autres problèmes, veuillez nous en informer à temps pour la modification ou la suppression. La reproduction de cet article est strictement interdite sans autorisation formelle. Mail : news@wedoany.com
Produits Associés