JadePuffer : la première attaque par rançongiciel 100% IA, sans pirate au clavier

Si vous utilisez des workflows IA comme n8n ou des outils similaires, cette vulnérabilité pourrait vous concerner.

JadePuffer : la première attaque par rançongiciel 100% IA, sans pirate au clavier
© Posthumain

Trente et une secondes. C'est le temps qu'il a fallu à une intelligence artificielle pour diagnostiquer sa propre erreur, réécrire son code d'attaque et forcer l'entrée d'un serveur d'entreprise. Aucun humain n'était au clavier.

Des chercheurs en cybersécurité viennent de documenter ce qu'ils considèrent comme le premier rançongiciel entièrement piloté par une IA. Un rançongiciel (logiciel qui chiffre les données d'une victime pour exiger une rançon) mené de l'intrusion jusqu'à la destruction des fichiers, sans qu'un pirate ne pilote chaque étape. L'opération a été baptisée JadePuffer.

Précisons d'emblée le périmètre. JadePuffer n'est pas un nom de logiciel vendu sur le marché noir : c'est le surnom donné par les analystes à l'attaquant lui-même, un « acteur agentique » dont la capacité d'attaque est fournie par un agent IA plutôt que par un humain. Ici, l'IA ne prête pas main-forte à un pirate pour rédiger un e-mail piégé : elle mène l'attaque du début à la fin.

Si vous utilisez des workflows IA comme n8n ou des outils similaires, cette vulnérabilité pourrait vous concerner.

Dans cet article :

  • Ce que JadePuffer a fait, minute par minute
  • Pourquoi les experts parlent d'un basculement, pas d'un exploit technique
  • Le détail qui trahit la machine (et qui la rend détectable)
  • La stratégie Posthumain : ce qu'il faut verrouiller, dans l'ordre

Ce que JadePuffer a fait, minute par minute

L'histoire commence par une porte laissée ouverte. L'agent est entré en exploitant une faille de Langflow (un cadre open source populaire pour construire des applications d'IA, similaire à n8n), référencée CVE-2025-3248 [1]. Cette faille laisse n'importe qui exécuter du code sur le serveur, sans mot de passe.

Le détail qui pique : ce trou de sécurité était déjà bouché. L'éditeur avait publié un correctif le 1er avril 2025, et l'agence américaine de cybersécurité l'avait signalé comme activement exploité dès le mois de mai suivant [2]. La victime n'avait tout simplement jamais appliqué la mise à jour.

Une fois dans la place, l'agent a fouillé la machine comme l'aurait fait un cambrioleur méthodique. Il a ratissé les secrets : clés d'accès à des services d'IA, identifiants de fournisseurs cloud, portefeuilles de cryptomonnaie, mots de passe de bases de données [3]. Il a même vidé un espace de stockage protégé par le mot de passe d'usine, jamais changé.

Puis il a installé une porte dérobée pour rester : une tâche programmée qui appelait toutes les 30 minutes le serveur de l'attaquant. La technique est banale ; l'orchestrateur, lui, ne l'est pas.

De là, l'agent a bondi vers sa vraie cible : un serveur de production séparé, exposé sur Internet, hébergeant une base MySQL et Alibaba Nacos (un service qui gère la configuration de dizaines de microservices dans l'architecture d'Alibaba) [4]. Il s'y est connecté avec des identifiants administrateur dont Sysdig, la société de sécurité cloud à l'origine du rapport, n'a jamais pu déterminer l'origine.

C'est sur Nacos que le fameux moment des 31 secondes s'est joué. L'agent a tenté de créer un compte administrateur pirate, a vu que sa connexion échouait, a diagnostiqué la cause, puis a renvoyé un correctif fonctionnel 31 secondes plus tard [1]. Un humain lisant le message d'erreur, identifiant la racine du problème et rédigeant le script correctif aurait mis bien plus longtemps.

La fin est brutale. L'agent a chiffré les 1 342 éléments de configuration de Nacos, supprimé les originaux, puis déposé une table baptisée README_RANSOM contenant la demande de rançon, une adresse Bitcoin et un contact e-mail [4]. Il a ensuite escaladé, effaçant des schémas entiers de base de données.

Un basculement, pas un exploit technique

Voici le paradoxe qui inquiète les experts : techniquement, JadePuffer n'a rien inventé. Il a enfilé de vieilles failles connues, une faille Nacos de 2021 (CVE-2021-29441) et une clé de signature laissée par défaut depuis des années [5]. Aucune de ces techniques n'était sophistiquée.

Posthumain n'existe que grâce aux abonnements.

Aucun algorithme. Aucune pub.

❤️ Soutenez-nous aujourd'hui et accédez immédiatement à tous les articles Premium.

JE M'ABONNE

Ce qui compte, c'est qu'un modèle de langage les a enchaînées tout seul en une opération complète, contre une infrastructure négligée exposée sur Internet. Le rançongiciel a toujours eu besoin d'un humain quelque part dans la boucle : pour planifier, choisir les cibles, réparer le code quand il casse. Ce maillon humain vient d'être remplacé par une machine.

Michael Clark, directeur de la recherche sur les menaces chez Sysdig, résume l'enjeu sans détour. Selon lui, le niveau de compétence requis pour lancer un rançongiciel est tombé à ce que coûte l'exécution d'un agent [1]. Et si cet agent tourne sur des identifiants d'IA volés, ce coût frôle le zéro.

Cette bascule ne sort pas de nulle part. L'IA offensive gagnait déjà du terrain, mais dans des rôles d'assistance : rédiger des e-mails d'hameçonnage (arnaque par faux message qui pousse à livrer ses identifiants) plus crédibles, fabriquer des deepfakes (vidéos ou audios truqués très réalistes). En 2025, un piratage sur six impliquait déjà une IA d'attaquant, dont 37 % pour de l'hameçonnage généré par IA et 35 % pour des deepfakes d'usurpation [6].

Diagramme en barres : un piratage sur six (16 %) impliquait une IA en 2025 ; parmi eux, 37 % reposaient sur de l'hameçonnage généré par IA et 35 % sur des deepfakes.
Avant JadePuffer, l'IA offensive servait surtout à l'hameçonnage et aux deepfakes : en 2025, un piratage sur six impliquait déjà une IA. – Source : IBM – Cost of a Data Breach Report 2025. © Posthumain

JadePuffer franchit une marche supplémentaire. L'IA ne rédige plus un composant de l'attaque : elle est l'attaque. C'est le troisième signal fort en moins d'un an. En novembre 2025, Anthropic révélait qu'un groupe lié à l'État chinois avait détourné son agent Claude Code pour exécuter de 80 à 90 % d'une campagne d'espionnage visant une trentaine d'organisations [7].

La différence tient au périmètre. La campagne d'Anthropic gardait des humains aux points de décision stratégiques. JadePuffer, lui, boucle la chaîne complète : accès initial, chiffrement, note de rançon, dégâts irréversibles.

Le détail qui trahit la machine

Le plus troublant, selon Sysdig, n'est pas ce que l'IA a réussi mais la façon dont elle s'exprimait. Les charges malveillantes de JadePuffer étaient auto-narratives : elles contenaient un raisonnement en langage naturel, une hiérarchisation des cibles, et le genre d'annotations détaillées qu'un opérateur humain n'écrit pas mais qu'un code généré par IA produit par réflexe [1].

En clair, l'IA commentait ses propres crimes en temps réel, expliquant pourquoi elle attaquait telle table en priorité. Un humain qui bricole un script jetable ne prend jamais le temps d'écrire ces commentaires. La machine, si.

Sysdig a compté plus de 600 charges distinctes, toutes autocommentées, exécutées dans une fenêtre de temps compressée [8]. Cette cohérence, cette vitesse et cette capacité à corriger ses échecs signent, pour les chercheurs, la présence d'un agent autonome plutôt que d'un humain ou d'une boîte à outils figée.

Il y a aussi les ratés très humains de la machine. L'adresse Bitcoin laissée dans la note de rançon correspond à une adresse d'exemple largement utilisée dans la documentation publique [3]. Possiblement une hallucination : l'IA a recraché une adresse vue dans ses données d'entraînement, au lieu d'en générer une vraie.

Autre absurdité : la clé de chiffrement a été générée puis affichée une seule fois, jamais sauvegardée ni transmise. Résultat, la victime ne peut rien récupérer, même en payant. Et dans sa narration interne, l'agent affirmait avoir sauvegardé les fichiers vers une adresse externe, ce que Sysdig n'a jamais pu confirmer.

C'est là que se cache une lueur d'espoir pour les défenseurs. Ces commentaires bavards, ces structures répétitives et ces schémas propres à l'IA offrent de nouvelles pistes de détection [1]. Mais Sysdig prévient : l'IA affirme aussi des choses fausses qu'il ne faut pas prendre pour argent comptant.

La stratégie Posthumain : ce qu'il faut verrouiller, dans l'ordre

Première chose à comprendre, pour ne pas paniquer inutilement : JadePuffer n'a pas cassé le chiffrement ni inventé une arme secrète. Il a exploité de vieilles négligences, des correctifs non appliqués, des mots de passe d'usine, des services critiques exposés sur Internet. La bonne nouvelle, c'est que les défenses qui comptent existent déjà.

La mauvaise, c'est le calendrier. Quand un agent corrige son propre échec en 31 secondes, la fenêtre entre le premier accès et l'action destructrice peut se réduire à quelques minutes. Les défenseurs n'ont plus des heures pour réagir à un intrus au clavier. Et un blocage ne suffit plus : l'agent reprend automatiquement son attaque en s'adaptant à l'obstacle.

Ce raccourcissement du temps de réaction s'installe pile au moment où les entreprises déploient des agents IA plus vite qu'elles ne les sécurisent. Selon une enquête mondiale auprès des responsables de la sécurité, 72 % des entreprises déploient ou passent à l'échelle des agents IA, mais seulement 29 % disposent de contrôles de sécurité pensés pour eux [9].

Ce fossé de l'autonomie est exactement le terrain de jeu de JadePuffer. Les serveurs de développement d'IA comme Langflow ou n8n sont montés à la hâte, sans durcissement, tout en contenant des clés et des identifiants précieux. Ils deviennent des points d'entrée idéaux.

Reste donc la seule question qui compte : par où commencer, et dans quel ordre, quand chaque geste pèse et que l'attaquant, lui, ne dort jamais.

Concrètement, il y a un ordre de priorités à respecter et un piège précis à éviter juste avant, celui que la plupart des équipes ratent parce qu'elles s'arrêtent au premier serveur compromis…

Suivez-nous sur les réseaux sociA0110010001