Cette faille permet de détourner les conversations entre agents IA
Palo Alto Networks alerte sur une vulnérabilité émergente appelée «Agent Session Smuggling», permettant à des attaquants d’intercepter les échanges entre agents IA et de détourner leurs sessions d’authentification.
L’essor des systèmes d’intelligence artificielle capables d’interagir entre eux, capacité permise par le protocole Agent-to-Agent (A2A), ouvre la voie à de nouvelles menaces de sécurité. Dans un rapport publié par son équipe Unit 42, Palo Alto Networks décrit une technique d’attaque inédite, baptisée «Agent Session Smuggling», qui exploite les failles dans la manière dont ces agents communiquent et s’authentifient. Unit 42 précise que «cette recherche ne révèle aucune vulnérabilité dans le protocole A2A lui-même», l’attaque exploitant plutôt les relations de confiance implicite entre agents. Ces architectures d’IA agentique reposent sur des modèles de langage (LLM) pilotant des agents capables de conserver le contexte d’une session, d’adapter leurs instructions au fil des échanges et d’interagir de manière autonome avec d’autres systèmes et outils.
Une menace propre aux systèmes d’agents IA
Les systèmes A2A reposent sur des échanges automatisés entre agents qui exécutent des tâches pour le compte d’un utilisateur ou d’une application. Ces interactions, qui impliquent la gestion d’identités, de sessions et de permissions, sont encore peu encadrées sur le plan de la sécurité. Selon Unit 42, «l’Agent Session Smuggling permet à un acteur malveillant d’utiliser un agent compromis pour infiltrer la session d’un autre agent et exécuter des actions au nom de celui-ci».
L’attaque consiste à détourner une session d’authentification valide entre deux agents. En manipulant les échanges de jetons ou d’identifiants, un agent compromis peut se faire passer pour un autre dans le réseau A2A tout en conservant un accès légitime auprès des systèmes connectés. Unit 42 précise que cette technique diffère des attaques classiques de session hijacking: elle exploite à la fois la confiance implicite entre agents et leur capacité à maintenir «des conversations multi-tours dans des sessions persistantes», ce qui permet d’injecter des instructions au fil des échanges et rend la détection beaucoup plus difficile. Les chercheurs soulignent que cette attaque tire parti du caractère «stateful» des systèmes A2A, dans lesquels les agents conservent le contexte d’une session et peuvent adapter leurs instructions d’un tour à l’autre.
Un risque étendu aux environnements multi-agents
Selon les chercheurs, une telle compromission pourrait permettre à un attaquant de contourner les contrôles d’accès, d’exfiltrer des données ou d’exécuter des commandes non autorisées au sein de chaînes d’agents interconnectés. Dans les environnements où les agents agissent pour le compte des utilisateurs, une «seule compromission peut se propager rapidement à l’ensemble du système», avertit Unit 42.
Palo Alto Networks recommande aux développeurs d’introduire des contrôles d’authentification renforcés et une supervision accrue des communications entre agents. L’entreprise insiste notamment sur la nécessité d’un contrôle humain pour les actions sensibles (human-in-the-loop), de mécanismes de vérification d’agent à agent – par exemple via des AgentCards signées de manière cryptographique – et de techniques de «context grounding» pour détecter des instructions injectées ou hors sujet.
Unit 42 conclut que la sécurité des écosystèmes multi-agents doit désormais être considérée comme une priorité, à mesure que ces systèmes gagnent en autonomie et en adoption dans les entreprises.
