Fin juin 2026, l'entreprise de sécurité Sysdig a documenté une attaque qu'elle évalue comme le premier rançongiciel agentique de bout en bout : une opération nommée JADEPUFFER, pilotée par un grand modèle de langage qui s'est introduit dans un réseau, l'a parcouru et a détruit une base de données de production - en narrant ses propres étapes au passage. Elle a fait les gros titres à juste titre, mais la version honnête est plus utile que la version effrayante. Voici ce qui s'est réellement passé, et ce que cela signifie pour garder vos données récupérables.
Ce que JADEPUFFER a vraiment fait
Selon l'équipe de recherche de Sysdig, l'agent a obtenu l'accès via une instance Langflow exposée sur Internet en exploitant une vulnérabilité connue (CVE-2025-3248). De là, il a mené une campagne adaptative et largement automatisée : il a raisonné sur ses cibles, récolté et réutilisé des identifiants, s'est déplacé latéralement, a établi une persistance, puis a déroulé un scénario d'extorsion contre un serveur de base de données de production.
Deux détails ressortent. L'agent a exécuté plus de 600 charges utiles distinctes et intentionnelles en succession rapide. Et quand l'une a échoué, il a diagnostiqué le problème et redéployé une charge corrigée environ 31 secondes plus tard. Cette vitesse et cette adaptabilité - pas un exploit isolé ingénieux - sont ce qui rend l'affaire notable.
La nuance honnête : pas sans mains
Les titres disaient « piloté par IA », et c'est juste, mais ce n'était pas sans humain. Les informations sur ce cas notent qu'une personne a tout de même mis en place et dirigé l'opération : provisionnement du serveur de commande et de contrôle et du serveur de transit pour les données volées, et choix de la victime. L'IA a fait le travail au clavier ; un humain l'a visée.
Le vrai changement est économique. Comme l'a résumé un analyste, le niveau de compétence requis pour mener une opération de rançongiciel complète vient de tomber au coût de faire tourner un agent. Des attaques moins chères et plus rapides tendent à être plus nombreuses.

Pourquoi cela compte pour vos données
Vous ne pouvez pas être plus malin qu'un agent adaptatif sur le moment, et vous ne devriez pas essayer. Les deux schémas à anticiper sont l'extorsion de bases de données et de serveurs de production (détruire ou voler, puis exiger un paiement) et la vitesse - quand une charge défaillante est corrigée en une demi-minute, il reste très peu de temps pour réagir manuellement. La défense qui survit aux deux est la même qui a toujours marché : rendre vos données récupérables quoi qu'il arrive sur le système en production.
Rester récupérable
Les fondamentaux ne changent pas parce que l'attaquant utilise l'IA :
- Gardez une copie hors ligne. Suivez la règle 3-2-1 et débranchez au moins une sauvegarde après chaque exécution. Un disque déconnecté est immunisé contre tout rançongiciel, agentique ou non. Voir notre guide de la stratégie de sauvegarde 3-2-1.
- Utilisez des sauvegardes versionnées. Les services cloud avec historique de versions conservent des copies d'avant le chiffrement, sur lesquelles revenir.
- Corrigez vite. JADEPUFFER a utilisé une CVE connue sur un service exposé. Mettre à jour rapidement les logiciels exposés ferme la porte par laquelle il est passé.
- Si vous êtes déjà touché : isolez la machine, ne payez pas, identifiez la souche gratuitement, et récupérez les originaux supprimés avant chiffrement. Notre guide sur que faire quand des fichiers sont chiffrés par un rançongiciel le détaille pas à pas.
Récupérer les fichiers supprimés avant chiffrement avec EaseUS
En résumé
Un rançongiciel agentique comme JADEPUFFER abaisse le coût et augmente la vitesse des attaques, et il mérite l'attention. Mais il ne change pas les fondamentaux de la récupération. Ceux qui traversent ces incidents sont ceux dont les données étaient déjà récupérables avant l'attaque : sauvegardes hors ligne, versionnage et restaurations testées. Une IA peut mener l'attaque plus vite ; elle ne peut pas atteindre un disque débranché. Construisez cette résilience maintenant, tant que c'est calme.
Sauvegarde maintenant pour neutraliser les rançongiciels → EaseUS Todo Backup
Sauvegardes automatiques · clone de disque · copie hors-ligne


