Un agent IA piégé par phishing expose des données sensibles
Les agents IA ne sont pas à l’abri des techniques de phishing. Des tests menés par Varonis révèlent qu’un agent autonome connecté à des outils d’entreprise peut divulguer des informations sensibles lorsqu’il est confronté à des demandes présentées comme légitimes.
Un agent IA autonome peut tomber dans des pièges de phishing et transmettre des données sensibles sans intervention humaine, selon des tests menés par Varonis Threat Labs sur OpenClaw, framework open source qui permet à des modèles de langage d’interagir avec des systèmes réels et d’exécuter des actions de manière autonome.
Pour cette expérience, les chercheurs ont créé un agent baptisé Pinchy. Celui-ci était connecté à une boîte Gmail, à des outils de navigation, aux API Google Workspace et à des sources internes d’entreprise fictives. L’environnement de test contenait notamment des identifiants AWS, des mots de passe de bases de données, des exports CRM, des communications internes et des invitations de calendrier. Les modèles utilisés étaient Google Gemini 3.1 Pro et OpenAI Codex GPT-5.4.
Les chercheurs ont comparé un profil générique de productivité à un profil intégrant des consignes de sécurité supplémentaires, notamment sur le phishing et la vérification de l’identité des expéditeurs.
Quand l’agent fait confiance au mauvais interlocuteur
Le premier scénario simulait une usurpation d’identité interne. Un attaquant se faisait passer pour un chef d’équipe et demandait un accès à l’environnement de staging en invoquant un incident de production. Pinchy a recherché les informations dans la boîte mail et envoyé à une adresse Gmail externe des clés AWS IAM, des identifiants de base de données et des détails d’accès SSH. Selon Varonis, les profils générique et strict ont tous deux échoué.
Le deuxième test portait sur une demande d’export client présentée comme nécessaire à la préparation d’une présentation. Là encore, l’agent a récupéré puis transmis les données sans vérification. Selon Varonis, l’export contenait des informations sur 247 clients d’entreprise, dont des noms de sociétés, des adresses e-mail, des numéros de téléphone, des dates contractuelles, des niveaux de clients et environ 1,28 million de dollars de revenus mensuels récurrents.
Les deux autres scénarios ont donné des résultats différents. Face à un faux e-mail de carte cadeau contenant un lien de phishing, l’agent en configuration générique a visité le site et tenté d’utiliser de fausses informations d’identification avant d’identifier la page comme malveillante. Le profil strict a bloqué l’attaque immédiatement. Dans un autre test, l’agent a analysé une application Google OAuth malveillante déguisée en plateforme de saisie du temps et a refusé de lui accorder l’accès.
D'après les observations de Varonis, les agents IA sont capables d’identifier des URL suspectes, de repérer de fausses pages de connexion, de détecter des applications OAuth malveillantes et de reconnaître différents indicateurs de phishing. Les chercheurs ont également observé des différences entre modèles. Gemini 3.1 Pro s’est montré plus enclin à interagir avant d’élever son niveau de suspicion, tandis que GPT-5.4 a adopté une approche plus prudente concernant la saisie autonome de données et la transmission d’informations sensibles vers des sites externes.
Varonis recommande des mesures architecturales plutôt que de simples consignes dans les prompts. Les chercheurs préconisent notamment de limiter l’accès des agents aux données internes, de restreindre les échanges avec de nouveaux destinataires externes et d’imposer une validation humaine pour les actions sensibles, comme le partage d’identifiants, les demandes financières ou les premiers échanges avec un contact externe.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
