Tous les articles
cybersécurité ransomware IA PME Sysdig protection

JadePuffer : le premier ransomware piloté par une IA frappe sans humain aux commandes

Barrière géométrique cyan sur fond bleu nuit, fragments lumineux en périphérie — défense numérique

Le 1er juillet 2026, l'équipe de recherche de Sysdig a publié un rapport qui change la donne. Pour la première fois, un ransomware a été exécuté du début à la fin par une intelligence artificielle — sans opérateur humain.

L'agent, baptisé JadePuffer, a repéré une faille, infiltré un serveur, récolté des identifiants, rebondi vers une base de données de production, chiffré 1 342 éléments de configuration, puis détruit les originaux. Quand une commande a échoué, il s'est corrigé en 31 secondes et a continué.

Ce n'est pas une simulation. Ce n'est pas un exercice de laboratoire. C'est un incident réel, documenté, qui signale un changement de nature dans la menace — pas seulement en degré.

Ce que Sysdig a observé

L'attaque s'est déroulée en plusieurs étapes, toutes pilotées par l'agent sans intervention humaine.

JadePuffer est entré par une vulnérabilité de Langflow, un outil open source utilisé pour construire des applications d'IA. La faille — CVE-2025-3248, score de gravité 9,8 sur 10 — avait été corrigée en mars 2025 et inscrite au catalogue des vulnérabilités critiques de la CISA en mai 2025. Le serveur visé n'avait jamais été mis à jour.

Une fois à l'intérieur, l'agent a balayé l'environnement en parallèle : clés API de fournisseurs d'IA, identifiants cloud, graines de portefeuilles de cryptomonnaie, accès aux bases de données. Il a extrait le contenu de PostgreSQL, sondé un stockage d'objets MinIO avec des identifiants par défaut, et installé une tâche planifiée pour maintenir sa connexion.

Le serveur Langflow n'était qu'un point d'entrée. La cible réelle était une base MySQL de production couplée au service de configuration Nacos d'Alibaba, tous deux accessibles depuis Internet et insuffisamment protégés.

Ce qui distingue cette attaque d'un script automatisé

Les scripts d'attaque traditionnels sont fragiles. Quand l'environnement ne correspond pas à ce qui était prévu, ils échouent. JadePuffer, lui, s'est adapté.

Lorsqu'une requête d'énumération MinIO a retourné du XML au lieu du JSON attendu, l'agent a modifié son parseur et relancé l'appel. Quand la création d'un compte administrateur Nacos a échoué, il a corrigé sa commande et vérifié le résultat. Sysdig a observé plus de 600 requêtes distinctes en un temps très court.

L'agent lisait ses propres résultats, détectait les erreurs et s'ajustait — sans instruction externe. Ce comportement adaptatif est ce qui distingue un agent IA d'un simple script.

Un autre fait notable : la clé de chiffrement AES utilisée pour verrouiller les données a été générée aléatoirement, affichée une seule fois, jamais stockée ni transmise. Même un attaquant coopératif ne pourrait pas fournir la clé de déchiffrement.

Ce que ça signifie pour une PME

Le message est clair : le seuil d'accès à une opération de ransomware complète vient de baisser.

Historiquement, mener une attaque de bout en bout exigeait des compétences techniques. Quelqu'un devait piloter l'intrusion, adapter le tir quand un obstacle survenait, corriger un script défaillant. JadePuffer délègue cette couche tactique à un modèle. Si l'agent tourne sur des identifiants d'API volés, son coût opérationnel est proche de zéro.

Pour une PME, la conséquence est directe : les infrastructures exposées — serveurs d'IA, outils de développement, bases de données accessibles depuis Internet — sont désormais exploitables par un adversaire qui travaille sans pause, sans erreur humaine et sans demande de rançon exploitable.

Car c'est un autre point à retenir : dans le cas de JadePuffer, la rançon était théorique. La clé n'existe pas. La seule voie de récupération est une sauvegarde immuable et hors ligne, testée régulièrement. Les organisations qui n'en ont pas n'ont aucun chemin de retour.

Cinq mesures de protection immédiates

Les contrôles qui auraient arrêté JadePuffer ne sont pas nouveaux. Le problème est de les appliquer systématiquement à des infrastructures que beaucoup d'organisations ne surveillent pas — en particulier les outils liés à l'IA déployés ces deux dernières années avec la rigueur d'une application de productivité plutôt que d'un système critique.

Voici les priorités.

1. Corriger les failles connues. CVE-2025-3248 est sur la liste de la CISA depuis mai 2025. Si votre entreprise utilise Langflow, appliquez le correctif immédiatement. Vérifiez aussi vos autres serveurs exposés : une faille de cet âge est un signal que le processus de mise à jour ne fonctionne pas.

2. Retirer les secrets des environnements de développement. Les clés API, identifiants cloud et mots de passe de base de données stockés en clair sur un serveur d'orchestration IA sont une mine d'or pour un agent comme JadePuffer. Déplacez-les vers un gestionnaire de secrets. C'est une action qui prend une heure et qui réduit radicalement la surface d'attaque.

3. Changer les identifiants par défaut. Le service Nacos visé dans cette attaque utilisait une clé de signature JWT documentée publiquement depuis 2020. Les identifiants par défaut sont une porte ouverte. Faites l'inventaire de vos services accessibles depuis Internet et vérifiez qu'aucun n'utilise les paramètres d'usine.

4. Fermer les ports d'administration. Les bases de données ne devraient jamais être joignables depuis Internet sur leur port de gestion. C'est une règle ancienne, mais le rythme des déploiements rapides fait qu'elle est régulièrement ignorée. Un audit trimestriel des accès réseau est plus fiable qu'une politique sur papier.

5. Maintenir des sauvegardes immuables hors ligne. C'est la seule protection contre une destruction de données où la clé de déchiffrement est perdue. Testez la restauration. Une sauvegarde qui n'a jamais été restaurée n'est pas une sauvegarde.

Un point de vigilance : l'IA comme infrastructure critique

Langflow et les outils similaires d'orchestration IA exécutent du code, détiennent des clés fournisseur, se connectent aux bases internes. Ils ont été déployés comme des environnements de prototypage, avec une gouvernance de projet pilote. JadePuffer montre que cette approche ne tient plus.

Si votre entreprise utilise un serveur d'orchestration IA, traitez-le comme une infrastructure de production : segmentation réseau, gestion des accès, journalisation, correctifs. Le coût de cette rigueur est faible comparé à celui d'une compromission.

Mention IA : cet article a été rédigé avec l'assistance d'un outil d'intelligence artificielle et relu par un humain.

Sources consultées

  • Sysdig Threat Research Team, « JADEPUFFER: Agentic ransomware for automated database extortion », 1er juillet 2026 — https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
  • CybelAngel, « JADEPUFFER: 6 Things to Know About the First AI-Driven Ransomware Operation », 7 juillet 2026 — https://cybelangel.com/blog/jadepuffer-6-things-to-know-about-the-first-ai-driven-ransomware-operation
  • DarkReading, « JadePuffer: The First Complete LLM-Driven Ransomware Attack », 8 juillet 2026 — https://www.darkreading.com/cyberattacks-data-breaches/jadepuffer-first-complete-llm-driven-ransomware-attack
  • BleepingComputer, « JadePuffer ransomware used AI agent to automate entire attack », juillet 2026
  • SecurityWeek, « Agentic AI Used to Conduct Ransomware Attack via Langflow », juillet 2026

Partager cet article