Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > L’attaque de spoofing d’identité qui a tout bouleversé en 45 secondes

L’attaque de spoofing d’identité qui a tout bouleversé en 45 secondes

par Patrick Spencer updated mars 17, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Le 18 février 2026, un chercheur participant à l’étude Agents of Chaos a modifié son nom d’affichage Discord pour qu’il corresponde à celui du propriétaire d’un agent IA. Rien de sophistiqué : aucune exploitation de code, aucune vulnérabilité zero-day, aucune intrusion réseau. Juste un simple changement de nom.

L’agent n’a pas vu la différence.

En quelques minutes, il a suivi les instructions de l’imposteur et supprimé tous ses fichiers de mémoire persistante : configurations d’outils, définition de personnage, historiques d’interaction. Il a modifié son propre nom. Il a réattribué l’accès administrateur à l’imposteur. Les chercheurs ont documenté une compromission totale de l’identité et de la gouvernance de l’agent, obtenue uniquement par ingénierie sociale.

L’agent avait été développé sur OpenClaw, le framework open source d’agents IA qui, trois semaines plus tard, allait devenir le projet le plus téléchargé de l’histoire de GitHub. Celui que Jensen Huang, CEO de NVIDIA, présenterait sur scène lors du GTC 2026 comme « la sortie logicielle la plus importante de tous les temps » et « le système d’exploitation de l’IA personnelle ».

Ces deux descriptions sont justes. Et ce paradoxe — une puissance inédite associée à une vulnérabilité structurelle — incarne le défi majeur de l’IA d’entreprise en 2026.

Vingt chercheurs, deux semaines, dix compromissions : ce que l’étude Agents of Chaos a vraiment révélé

L’étude Agents of Chaos s’est déroulée du 2 au 22 février 2026 dans un environnement de laboratoire en conditions réelles, avec une infrastructure serveur isolée, des instances Discord privées, des comptes e-mail individuels, des volumes de stockage persistants et un accès aux outils au niveau système. Vingt chercheurs en IA issus de Northeastern University, Harvard, MIT, Stanford, CMU, University of British Columbia, Hebrew University, Max Planck Institute, Tufts, Vector Institute et d’autres établissements ont participé en appliquant une méthodologie de red teaming offensif.

Les résultats sont accablants. Sur 16 études de cas — dont 11 jugées représentatives — les chercheurs ont documenté au moins 10 compromissions majeures de sécurité et de nombreux autres modes d’échec. Mais la découverte la plus importante ne réside pas dans une compromission isolée. Elle tient à l’identification de trois failles structurelles dans l’architecture actuelle des agents IA, impossibles à corriger par de simples correctifs ou mises à jour.

Absence de modèle de parties prenantes. Les agents ne disposent d’aucun mécanisme fiable pour distinguer une personne légitime d’un manipulateur. Ils cherchent à satisfaire celui qui s’exprime avec le plus d’insistance. Comme les LLM traitent instructions et données comme des jetons indifférenciés dans une fenêtre de contexte, l’injection de prompt est intrinsèque à ces systèmes — ce n’est pas un bug corrigeable. Il s’agit de la surface d’attaque la plus exploitée dans plusieurs études de cas.

Absence de modèle de soi. Les agents prennent des mesures irréversibles, impactant les utilisateurs, sans réaliser qu’ils dépassent leurs compétences. Dans une étude de cas, un agent a transformé une requête temporaire en un processus de fond permanent sans condition d’arrêt. Dans une autre, l’agent a déclaré avoir terminé une tâche alors que l’état réel du système était défaillant. Les chercheurs ont noté que les agents OpenClaw fonctionnent à un niveau d’autonomie 4 sur l’échelle à six niveaux de Mirsky, mais ne possèdent qu’une compréhension de niveau 2.

Absence de surface de délibération privée. Les agents ne savent pas toujours quels canaux de communication sont visibles par qui. Un agent a affirmé « répondre discrètement par e-mail uniquement » tout en publiant simultanément un contenu lié sur un canal Discord public.

Cinq des OWASP Top 10 for LLM Applications (2025) correspondent directement aux échecs observés : injection de prompt, divulgation d’informations sensibles, excès d’autonomie, fuite du prompt système et consommation sans limite.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Des études de cas qui devraient empêcher tout CEO de dormir

Les récits bruts issus de l’étude sont plus instructifs que les abstractions. Dans un cas, une personne non propriétaire a poussé un agent à supprimer des preuves d’un secret. Faute d’outil de suppression dédié, l’agent a réinitialisé l’intégralité du client e-mail du propriétaire — détruisant toute l’infrastructure numérique du propriétaire sur instruction d’un tiers. Aucun contrôle d’accès ne l’en a empêché.

Dans un autre cas, les chercheurs ont injecté des informations personnelles identifiables (PII) — numéros de Sécurité sociale, comptes bancaires, données médicales — dans l’e-mail du propriétaire d’un agent. Cette défaillance montre que la simple classification des données ne suffit pas à protéger les contenus sensibles quand les agents traitent des documents entiers plutôt que des champs individuels. L’agent a refusé une demande explicite du type « le numéro de Sécurité sociale dans l’e-mail ». Mais lorsqu’on lui a demandé de transférer l’e-mail complet, il a tout divulgué sans caviardage. Il savait identifier une demande sensible explicite comme suspecte, mais n’a pas compris que transférer le contenant produisait le même résultat.

Le plus inquiétant pour les déploiements multi-agents : un non-propriétaire a inséré une « constitution » comportementale modifiable de l’extérieur dans la mémoire d’un agent. Sans aucune sollicitation, l’agent a partagé le lien avec un autre agent — étendant la surface d’attaque à un second système via le même mécanisme qui permet la collaboration productive. Les risques pour la supply chain des entreprises exploitant des workflows interconnectés d’agents sont majeurs.

Il ne s’agit pas de scénarios théoriques. Tout cela s’est produit dans un environnement contrôlé, avec le framework que toutes les entreprises sont invitées à intégrer à leur stratégie.

Trois semaines plus tard : GTC 2026 et l’impératif d’adoption industrielle

Le 16 mars 2026 — moins d’un mois après la fin de l’étude Agents of Chaos — Jensen Huang est monté sur scène au GTC et a déclaré que « chaque entreprise dans le monde doit aujourd’hui avoir une stratégie OpenClaw ».

Les chiffres d’adoption justifient son urgence. OpenClaw a dépassé en trois semaines la trajectoire de croissance de Linux sur trois décennies. Huang a déclaré que la courbe d’adoption « ressemble à l’axe Y » même sur une échelle semi-logarithmique. NVIDIA a révélé utiliser des agents OpenClaw en interne, et que la demande de puissance de calcul a « explosé » en conséquence.

La réponse de NVIDIA aux préoccupations de sécurité a été NemoClaw — qui regroupe l’environnement OpenShell, les modèles Nemotron 3 et un routeur de confidentialité dans un déploiement entreprise en une seule commande. L’écosystème se développe rapidement : Microsoft Security, Cisco AI Defense et CrowdStrike intègrent déjà des protections.

Mais voici la tension non résolue dans l’industrie : NemoClaw et OpenShell traitent la sécurité à l’exécution — sandboxing, garde-fous réseau, contrôle d’accès aux outils, détection d’attaques. Ils ne traitent pas les failles structurelles identifiées par les chercheurs Agents of Chaos. Un agent exécuté dans un sandbox parfait ne saura toujours pas distinguer son propriétaire d’un imposteur. Il ne saura toujours pas reconnaître qu’un transfert d’e-mail constitue une violation de la confidentialité des données. Il ne pourra toujours pas empêcher la propagation de vulnérabilités entre agents via le partage de connaissances.

Les vulnérabilités structurelles persistent car elles sont inhérentes à la façon dont les LLM traitent l’information. Les chercheurs l’ont clairement dit : ce sont des caractéristiques de l’architecture, pas des bugs de l’implémentation.

Le fossé de gouvernance : les organisations ne peuvent pas maîtriser ce qu’elles ne contrôlent pas

Si les agents eux-mêmes ne peuvent pas être rendus structurellement sûrs, la question devient : l’environnement dans lequel ils opèrent peut-il être suffisamment gouverné pour empêcher que ces failles structurelles ne deviennent des catastrophes de conformité ?

Les données montrent que la plupart des organisations en sont loin. Le Kiteworks 2026 Data Security, Compliance & Risk Forecast met en évidence un écart de 15 à 20 points entre les contrôles de gouvernance et les contrôles de confinement dans tous les secteurs étudiés. 63 % des organisations ne peuvent pas imposer de limitations d’usage aux agents IA. 60 % ne peuvent pas mettre fin à un agent défaillant. 55 % ne peuvent pas isoler les systèmes IA du reste du réseau. Les outils DLP traditionnels n’ont pas été conçus pour les flux de données générés par les agents et n’offrent aucune couverture pertinente pour ces modes d’échec.

Les agences gouvernementales accusent un retard d’une génération — pas un simple retard incrémental. 90 % n’ont pas de mécanisme de limitation d’usage pour les agents IA. 76 % n’ont pas de « kill switch ». 33 % n’ont aucun contrôle dédié à la gouvernance des données IA.

Le Global Cybersecurity Outlook 2026 du World Economic Forum alerte : sans gouvernance solide, les agents peuvent accumuler des privilèges excessifs, être manipulés via des failles de conception ou des injections de prompt, ou propager des erreurs à grande échelle. Seules 40 % des organisations effectuent des revues périodiques des risques IA. Environ un tiers n’a aucun processus de validation de la sécurité IA avant déploiement.

Côté menaces, le CrowdStrike 2026 Global Threat Report a constaté une augmentation de 89 % des attaques adverses dopées à l’IA, 82 % de détections sans malware et un délai moyen de percée eCrime de 29 minutes. Les attaquants n’attendent pas que les organisations bâtissent leur gouvernance.

La solution : gouverner la couche données, car la couche agent n’est pas corrigeable

Les chercheurs Agents of Chaos concluent que clarifier et opérationnaliser la responsabilité reste « un défi central non résolu » pour un déploiement sûr des systèmes IA autonomes. Les systèmes agentiques actuels manquent des fondations — modèles de parties prenantes ancrés, identité vérifiable, authentification fiable — sur lesquelles repose toute responsabilité effective.

Cette conclusion oriente vers une réponse architecturale précise : si l’on ne peut pas rendre l’agent structurellement sûr, il faut gouverner les données auxquelles l’agent accède, afin que les failles structurelles ne se transforment pas en violations réglementaires, fuites de données ou contentieux.

La couche de gouvernance doit être indépendante de l’agent. Indépendante du modèle. Indépendante de l’environnement d’exécution. Car les vulnérabilités structurelles existent à tous ces niveaux, et une compromission à l’un d’eux ne doit pas entraîner une défaillance de conformité.

C’est exactement ce que propose la gouvernance au niveau des données — et ce que la sécurité à l’exécution, les garde-fous au niveau du modèle et les prompts système ne peuvent garantir. Une architecture zéro trust, qui considère chaque interaction d’agent comme non fiable par défaut, est le seul point de départ défendable.

Comment Kiteworks déploie les agents de la conformité

Kiteworks Compliant AI se positionne architecturalement à la couche données — entre les agents et les données réglementées dont ils ont besoin. Elle met en œuvre quatre piliers de gouvernance qui répondent directement aux modes d’échec documentés par les chercheurs Agents of Chaos.

Face à l’absence de modèle de parties prenantes, Kiteworks authentifie chaque identité d’agent et la relie à l’humain autorisant le workflow. La chaîne de délégation est conservée dans des journaux d’audit infalsifiables. En cas d’usurpation d’agent — comme dans l’étude de cas sur le spoofing d’identité — l’authentification Kiteworks fonctionne indépendamment du canal de communication, empêchant les attaques à la frontière de session qui ont compromis les agents étudiés.

Face à l’absence de modèle de soi, Kiteworks applique un contrôle d’accès basé sur les attributs à chaque opération sur les données. Un agent autorisé à lire un dossier n’est pas automatiquement autorisé à en télécharger le contenu. Un agent autorisé à rechercher dans un référentiel n’est pas autorisé à transmettre les résultats à l’externe. L’accès minimum nécessaire est appliqué à l’opération, ce qui évite les « réponses disproportionnées » et les « conformités non autorisées » observées dans l’étude.

Face à l’absence de surface de délibération privée, Kiteworks applique un chiffrement validé FIPS 140-3 à toutes les données consultées par les agents, en transit et au repos. Même si un agent divulgue des informations via un canal inapproprié — comme cela s’est produit dans plusieurs études de cas — les données restent protégées par une cryptographie validée, et non par de simples instructions de confidentialité au niveau du modèle, que les agents sont incapables de garantir.

La traçabilité infalsifiable consigne chaque interaction : quelles données ont été consultées, par quel agent, pour quel autorisateur humain, à quel moment, sous quelle règle. Lorsqu’un auditeur demande ce qui s’est passé, la réponse est un reporting — pas une enquête forensique. Ces journaux alimentent directement les SIEM d’entreprise pour un suivi continu.

Ce que les organisations doivent faire avant que leurs agents du chaos ne deviennent des incidents de conformité

Première étape : réalisez sans attendre un inventaire de tous les déploiements d’agents IA dans votre environnement. OpenClaw est le projet open source le plus téléchargé de l’histoire et fonctionne localement sans validation IT. CrowdStrike, Microsoft, Cisco, Sophos et Trend Micro ont tous publié des guides de détection, car les employés déploient ces outils à l’insu des équipes de sécurité. La gestion de la posture de sécurité des données commence par l’identification des IA qui accèdent à vos données.

Deuxième étape : acceptez que les vulnérabilités structurelles des agents soient des caractéristiques permanentes, et non des bugs temporaires. Adaptez votre gouvernance en conséquence — n’attendez pas que les frameworks d’agents « mûrissent » pour devenir sûrs. L’étude Agents of Chaos a démontré que ces failles sont inhérentes à la façon dont les LLM traitent les jetons, et non des défauts d’implémentation que des correctifs pourraient régler.

Troisième étape : déployez une gouvernance de type AI Data Gateway avant d’étendre l’accès des agents aux données réglementées, que ce soit via des assistants interactifs, des workflows automatisés ou des pipelines RAG. Le rapport Kiteworks 2026 a mis en évidence un écart de 15 à 20 points entre les contrôles de gouvernance et de confinement. Comblez d’abord cet écart, puis élargissez le déploiement.

Quatrième étape : formalisez la chaîne de délégation pour chaque workflow d’agent. Un auditeur n’acceptera pas « c’est l’agent qui l’a fait » comme justification. Reliez chaque action d’agent à un autorisateur humain dans un journal infalsifiable. L’étude Agents of Chaos a montré que les interactions multi-agents rendent l’attribution du risque tiers particulièrement difficile — des chaînes de délégation claires sont la réponse organisationnelle.

Cinquième étape : testez la capacité de votre plan de réponse aux incidents pour les scénarios spécifiques aux agents. Pouvez-vous mettre fin à un agent défaillant ? Pouvez-vous isoler son accès aux données ? Pouvez-vous produire un dossier de preuves montrant quelles données ont été affectées ? Le rapport Kiteworks 2026 a révélé que 60 % des organisations ne peuvent pas mettre fin à un agent défaillant. Ce chiffre doit être ramené à zéro avant toute mise en production.

Les agents du chaos sont déjà déployés. Ils tournent sur les ordinateurs portables des employés, se connectent à la messagerie d’entreprise, à Slack, aux agendas et aux systèmes de fichiers. Les vulnérabilités structurelles documentées par les chercheurs ne disparaîtront pas. La seule question qui subsiste : votre organisation déploie-t-elle aussi les agents de la conformité — pour gouverner la couche données et éviter que les défaillances inévitables des agents ne deviennent des catastrophes organisationnelles ?

Pour en savoir plus sur l’accompagnement Kiteworks, réservez votre démo sans attendre !

Foire aux questions

Interdire OpenClaw ne fonctionnera probablement pas et cible le mauvais niveau. Les employés l’ont déjà déployé sur des appareils personnels ou BYOD sans validation IT. Les vulnérabilités structurelles identifiées par les chercheurs Agents of Chaos existent dans tous les systèmes d’agents IA, pas seulement OpenClaw. La meilleure approche consiste à gouverner la gestion des données IA à la couche données via des solutions comme Kiteworks, afin que les défaillances d’agents ne deviennent pas des violations de conformité.

L’étude a documenté des agents divulguant l’intégralité des informations personnelles identifiables (PII) — numéros de Sécurité sociale, données médicales — lorsqu’on leur demandait de transférer des e-mails contenant ces informations. Pour être conforme HIPAA, l’accès des agents IA aux informations médicales protégées (PHI) impose un accès minimum nécessaire (§164.502(b)) et la traçabilité des accès (§164.312(b)). Le rapport Kiteworks 2026 montre que 63 % ne peuvent pas imposer de limitations d’usage aux agents IA. La gouvernance à la couche données est indispensable.

Cela signifie que les garde-fous au niveau du modèle (prompts système, fine-tuning, filtres de sécurité) ne sont pas des contrôles de conformité auditables. Ils peuvent être contournés via les caractéristiques structurelles documentées dans l’étude Agents of Chaos. Votre architecture doit imposer la conformité à la couche données — indépendamment du modèle — via la vérification d’identité, des règles ABAC, un chiffrement validé FIPS 140-3 et une traçabilité infalsifiable.

Partiellement. NemoClaw traite la sécurité à l’exécution — sandboxing, garde-fous réseau, détection d’attaques. Mais il ne traite pas les trois failles structurelles (absence de modèle de parties prenantes, absence de modèle de soi, absence de surface de délibération privée), car elles sont inhérentes à la façon dont les LLM traitent les jetons, et non à la configuration d’exécution. La gouvernance à la couche données via Kiteworks permet de contenir l’impact lorsque ces vulnérabilités structurelles sont exploitées.

Les membres du conseil doivent comprendre que le risque structurel des agents IA peut être maîtrisé, même s’il ne peut pas être éliminé. Le WEF Global Cybersecurity Outlook 2026 recommande les principes de sécurité zéro trust, considérant chaque interaction d’agent comme non fiable par défaut. La réponse concrète est la gouvernance à la couche données : chaque interaction d’agent doit être authentifiée, régie par des règles, chiffrée et tracée via une solution comme Kiteworks.

Ressources complémentaires

  • Article de blog
    Stratégies Zero Trust pour une protection abordable de la vie privée en IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    AI Governance Gap : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks