Attaques par détournement d'agent
Des chercheurs en cybersécurité ont découvert une nouvelle technique d'attaque appelée Agentjacking, une méthode capable de manipuler les assistants de programmation d'intelligence artificielle pour qu'ils exécutent du code contrôlé par un attaquant sur les systèmes des développeurs.
L'attaque exploite un faux rapport d'erreur généré par Sentry, la plateforme open source de suivi des erreurs et de surveillance des performances largement utilisée. Selon les chercheurs, la vulnérabilité provient d'une faiblesse architecturale fondamentale liée au mécanisme d'ingestion des événements de Sentry et à son intégration avec les systèmes d'IA via le protocole MCP (Model Context Protocol).
Comme Sentry accepte des charges utiles d'événements arbitraires provenant de toute personne possédant un nom de source de données (DSN) valide, des attaquants peuvent injecter du contenu malveillant dans les rapports d'erreurs. Lorsque ces rapports sont ensuite récupérés par des assistants de programmation IA tels que Claude Code ou Cursor via le serveur Sentry MCP, le contenu injecté peut être interprété comme une aide au dépannage légitime.
Table des matières
Le défaut architectural à l’origine de l’attaque
L'agentjacking repose essentiellement sur un problème de confiance engendré par les services externes connectés au MCP. Le serveur Sentry MCP renvoie des données d'événements aux agents d'IA comme étant de confiance, même lorsque ces données proviennent de sources non vérifiées.
Par conséquent, les agents de codage IA ne peuvent déterminer avec certitude si une erreur est due à une défaillance réelle de l'application ou à une injection délibérée par un acteur malveillant. Cette incapacité à distinguer le contenu légitime des données malveillantes ouvre la voie à l'exécution de code arbitraire dès que l'agent traite et exécute les instructions fournies.
Une compromission réussie peut exposer des informations extrêmement sensibles, telles que les variables d'environnement, les identifiants Git, les URL de dépôts privés et les données d'identité des développeurs. Il est important de noter que cette attaque ne nécessite ni campagne d'hameçonnage, ni déploiement de logiciel malveillant, ni compromission préalable de l'infrastructure cible.
Comment fonctionne la chaîne d’attaque par détournement d’agent
L'attaque se déroule en plusieurs étapes soigneusement orchestrées :
- Un acteur malveillant identifie le DSN Sentry d'une organisation cible, un identifiant public en écriture seule généralement intégré aux sites web.
- En utilisant le DSN exposé, un événement d'erreur malveillant est soumis au point de terminaison d'ingestion de Sentry via une requête POST.
- L'événement injecté contient un contenu Markdown spécialement conçu, intégré dans les champs de message et les noms de clés de contexte.
- Lorsque le serveur Sentry MCP récupère l'événement, le contenu malveillant est rendu sous forme d'informations structurées qui ressemblent visuellement aux instructions légitimes générées par Sentry.
- Un développeur charge ensuite un assistant de programmation IA d'enquêter sur les problèmes non résolus de Sentry ou de les résoudre.
- L'agent IA interroge Sentry via MCP et reçoit l'événement contrôlé par l'attaquant.
- Les instructions malveillantes sont traitées comme des mesures correctives fiables, ce qui conduit l'agent d'IA à exécuter le code fourni par l'attaquant avec les privilèges du développeur.
Pourquoi cette attaque est-elle si efficace ?
L'un des aspects les plus préoccupants de l'Agentjacking est que les attaquants n'interagissent jamais directement avec l'infrastructure de la victime. Au lieu de cela, les instructions malveillantes sont dissimulées dans ce qui semble être un rapport d'erreur normal.
Lorsque les développeurs sollicitent l'aide de leurs agents de programmation IA, le message d'erreur modifié est interprété comme une recommandation de résolution légitime. L'agent IA exécute ensuite les instructions sur la machine du développeur en utilisant les autorisations de ce dernier.
L'Agentjacking est particulièrement dangereux car il s'attaque à la relation de confiance entre les développeurs et les assistants IA. La technique d'injection Markdown est si bien conçue que l'agent IA ne peut distinguer le contenu malveillant des instructions authentiques générées par Sentry.
Exposition généralisée et réaction des fournisseurs
Les chercheurs auraient identifié au moins 2 388 organisations possédant des numéros DSN Sentry valides et injectables, ce qui souligne l'ampleur potentielle du problème.
Sentry a pris connaissance des conclusions de l'attaque, mais aurait conclu qu'une solution technique complète n'était pas envisageable. L'entreprise a donc mis en place un mécanisme global de filtrage de contenu visant à bloquer un schéma de charge utile spécifique connu et associé à cette attaque.
Les agents IA deviennent la nouvelle surface d’attaque
L'émergence de l'Agentjacking illustre comment les assistants de programmation IA deviennent rapidement une nouvelle surface d'attaque particulièrement attrayante. Plutôt que de cibler les contrôles de sécurité traditionnels, les attaquants peuvent exploiter les flux de données fiables que les organisations exposent ouvertement.
Cette attaque est capable de contourner de nombreuses technologies de sécurité classiques, notamment les solutions EDR (Endpoint Detection and Response), les pare-feu d'applications web (WAF), les systèmes de gestion des identités et des accès (IAM), les VPN, les protections Cloudflare et les pare-feu traditionnels. Comme chaque action effectuée lors de la chaîne d'attaque semble autorisée et légitime, les outils de sécurité peuvent ne déceler aucune activité malveillante évidente.
À mesure que les organisations accélèrent l'adoption du développement logiciel assisté par l'IA, l'Agentjacking nous rappelle avec force que la confiance accordée aux agents d'IA peut elle-même devenir une faille de sécurité lorsque les sources de données externes sont considérées comme intrinsèquement fiables.
