1. Le changement de paradigme à venir
Les opérations offensives et les exercices de simulation d'attaques (red-teaming) connaissent actuellement un nouveau tournant : ce qui était autrefois principalement piloté par l'homme devient de plus en plus autonome et réagit aux événements, grâce à des cadres d'agents capables de planifier, d'agir et de se coordonner avec un minimum de supervision. Nos recherches sur le protocole de commande et de contrôle de essaims basé sur le Model Context Protocol décrivent cette évolution non pas comme un avenir hypothétique, mais comme une réalité opérationnelle émergente. Dans l'article précédent, le Model Context Protocol (MCP) est présenté comme un nouveau substrat de commande et de contrôle (C2) adapté à l'ère des agents, permettant aux agents IA de communiquer avec les opérateurs et entre eux d'une manière qui ressemble de plus en plus aux activités quotidiennes de l'IA en entreprise.
Le modèle classique de commande et de contrôle présente des caractéristiques distinctives : des signaux périodiques, à intervalles réguliers ou irréguliers, des schémas d'infrastructure prévisibles et une exécution des tâches au rythme humain. Les attaquants peuvent randomiser les délais d'attente ou faire tourner les domaines d' C2, mais les défenseurs exploitent généralement l'exigence sous-jacente selon laquelle les implants doivent « se reconnecter à la base » suffisamment souvent pour que le canal de communication reste opérationnel. Le modèle MCP remet cette hypothèse en question. En effet, comme le MCP est conçu pour des échanges de courte durée et à la demande entre les modèles et les outils externes, il prend naturellement en charge le C2 piloté par les événements : les agents peuvent se connecter brièvement pour récupérer une tâche, se déconnecter pour l'exécuter, puis se reconnecter uniquement lorsque des résultats ou un nouveau contexte sont disponibles. Même si le protocole de communication de l'IA est lui-même légitime, l'intention de la mission derrière ce trafic peut être malveillante.
Le concept de C2 en essaim renforce cet avantage. Au lieu d’un seul agent autonome exécutant une chaîne d’attaque linéaire, de nombreux agents peuvent être orchestrés en parallèle, avec des comportements spécialisés ou basés sur des rôles. Par exemple, un agent peut se concentrer sur la reconnaissance tandis qu’un autre se consacre à la recherche d’exploits, et ces découvertes sont partagées via le MCP et la recombinaison des résultats à la vitesse de l’ordinateur. La communication en essaim peut également introduire de la redondance et de la variation dans le trafic. En d'autres termes, les essaims d'agents équipés du MCP ne se contentent pas d'automatiser les étapes des opérations offensives ; ils peuvent automatiser le modèle opérationnel lui-même. Alors qu'auparavant, les attaquants avaient besoin de personnes qualifiées pour coordonner en permanence les tâches, interpréter les données télémétriques et séquencer les actions, les essaims peuvent désormais effectuer la plupart de ces tâches de manière autonome, laissant la composante « humain dans la boucle » à une personne chargée de définir les objectifs stratégiques et d'intervenir occasionnellement dans les cas limites.
Cette évolution à venir ne se limite pas à une vitesse accrue, mais englobe également l'autonomie, la coordination, un champ de connaissances plus vaste et la discrétion.
2. Le modèle de menace New Age
Comme nous l'expliquons dans notre article, le MCP offre une infrastructure de communication légitime et peu visible. Les essaims apportent parallélisme, adaptabilité et tolérance aux pannes. Associés à des modèles de raisonnement performants, ils donnent naissance à des systèmes offensifs qui ressemblent à des opérations d'IA légitimes jusqu'au moment où ils passent à l'action.
Cela a pour conséquence ce qui suit :
- Le trafic C2 devient sémantiquement ambigu : les pipelines de détection traditionnels recherchent des schémas réseau anormaux : rappels périodiques, domaines suspects, agents utilisateurs inhabituels ou infrastructures C2 connues. Le trafic MCP, en revanche, peut être tout à fait légitime au niveau de la couche de transport et impossible à distinguer de l’« utilisation d’outils d’IA » en interne. Si une entreprise utilise déjà le MCP pour des agents de productivité, des copilotes de sécurité ou des assistants de codage, les tâches MCP malveillantes peuvent alors se fondre dans le décor.
- Compression et chevauchement de la chaîne d'attaque : les essaims d'agents permettent de mener des opérations en parallèle sur plusieurs cibles, techniques et environnements. La reconnaissance et le développement d'exploits ne doivent plus nécessairement se dérouler de manière séquentielle ; un agent peut rechercher un exploit tandis qu'un autre teste déjà des voies de déplacement latéral et qu'un troisième collecte des identifiants.
- L'autonomie élargit le profil type des auteurs d'attaques : l'IA peut prendre en charge la plupart des étapes tactiques, ce qui signifie que le seuil d'accès est abaissé pour les attaquants (autrement dit, ce qui était auparavant considéré comme un niveau de compétence propre aux auteurs d'attaques APT peut désormais être le fait d'un « script kiddie » dépourvu de compétences techniques). De plus, la charge de travail des opérateurs diminue, ce qui permet de mener davantage de campagnes et de cibler davantage de victimes.
Ces trois éléments clés modifient le modèle de menace traditionnel utilisé dans la plupart des opérations de cybersécurité.
3. L'attaque orchestrée par l'IA d'Anthropic : une confirmation dans le monde réel
Le profil de menace envisagé dans l'article a été presque immédiatement confirmé par l'enquête menée par Anthropic sur une campagne d'espionnage liée à un État qui utilisait une IA agentique comme principal opérateur. Anthropic affirme avec un haut degré de certitude qu'un groupe soutenu par l'État chinois (désigné sous le nom de GTG-1002 dans les rapports publics) a mis en place un cadre autonome autour de Claude Code, l'utilisant non pas comme une aide, mais comme l'exécuteur central de la campagne. Deux aspects de l'affaire Anthropic revêtent une importance particulière pour les défenseurs :
- Le mode opératoire : selon Anthropic, le système d'IA a pris en charge la plupart des étapes de la chaîne d'attaque : reconnaissance, identification des vulnérabilités, recherche et codage d'exploits, collecte d'identifiants, élévation de privilèges, mise en place d'une porte dérobée ou d'un point d'ancrage, et tentative d'exfiltration. Les humains ne sont intervenus que pour une infime minorité de décisions. Le rapport estime qu'environ 80 à 90 % des opérations tactiques ont été gérées par l'IA, à un rythme que nul opérateur humain n'aurait pu soutenir.
- La stratégie de manipulation : la campagne a d'abord réussi à contourner les protections de Claude Code grâce à une décomposition délibérée des tâches. Les objectifs malveillants ont été découpés en sous-tâches d'apparence inoffensive, présentées comme de la recherche défensive ou des tests de sécurité de routine. Cela s'inscrit dans un mode de défaillance plus général et inquiétant : si un système d'IA est optimisé pour s'avérer utile dans le cadre de tâches raisonnables à un niveau local, les adversaires peuvent dissimuler leurs intentions à travers le graphe des tâches.
Anthropic a également reconnu que le paysage de la cybersécurité a évolué sous l'influence de ces modèles et frameworks d'IA. Mais la conclusion logique n'est pas de cesser de publier des modèles, mais de donner aux professionnels de la cybersécurité les moyens d'utiliser ces modèles dans le cadre d'opérations défensives afin de se préparer à des attaques comme celle-ci.
4. Et maintenant ?
Faut-il s'attendre à d'autres attaques de ce type ? Oui. D'après l'expérience, dès qu'une technique a fait ses preuves entre les mains d'un acteur étatique, elle peut se propager (par exemple, d'EternalBlue à WannaCry).
De plus, tous les attaquants n'ont pas besoin de créer leur propre essaim. De nombreux acteurs malveillants se contentent d'intégrer des frameworks d'agents disponibles dans le commerce à des scénarios d'attaque existants : phishing , chaînes d'exploits, préparation de ransomware. Le problème ne réside pas dans le modèle d'IA en soi, mais dans l'écosystème croissant des serveurs MCP, des plugins et des chaînes d'outils d'agents. À mesure que de plus en plus d'entreprises exposent leurs outils internes via MCP à des fins légitimes, ces mêmes interfaces deviennent des surfaces d'attaque attrayantes.
La documentation sur la sécurité du MCP met déjà en garde contre les fournisseurs de contexte non vérifiés, l'utilisation abusive de la chaîne d'outils et les failles au niveau des protocoles. Le MCP en tant que canal de commande et de contrôle ne devrait pas être notre seule préoccupation, mais le MCP en tant que chaîne d'approvisionnement deviendra une cible de premier plan.
De plus, comme le trafic MCP ressemble au trafic IA quotidien habituel des entreprises, les alertes de détection risquent de plus en plus de se confondre avec une utilisation normale de l'IA. C'est là que la stratégie de défense doit évoluer pour s'adapter à ce nouveau changement de paradigme :
- Détection des intentions : pour détecter les attaques orchestrées par des agents, il faudra croiser les données de télémétrie des modèles ou des outils avec les informations d'identité, endpoint et les signaux réseau. Le système de détection devra analyser ce comportement et répondre à la question suivante : pourquoi cet agent exécute-t-il cet outil à ce moment précis, et cela correspond-il à son identité et au contexte métier ?
- Sécurisation de l'infrastructure MCP: les serveurs MCP doivent être considérés comme des points d'intégration privilégiés de l'entreprise et sécurisés en conséquence (par exemple, en imposant une authentification stricte, en exécutant les outils en mode sandbox et en séparant la journalisation des appels des agents)
- En cas d'attaques à la vitesse de l'ordinateur: les guides d'intervention en cas d'incident doivent tenir compte de délais considérablement réduits. Cela implique de mettre en place des options de confinement plus rapides et des mesures de résilience capables de contrer les techniques de déplacement latéral rapide.
Le message est donc clair : les essaims d'agents basés sur le MCP constituent la prochaine génération de la sécurité offensive, offrant des infrastructures de commande et de contrôle (C2) plus furtives, une exploitation plus rapide, ainsi qu'une exécution adaptative et distribuée. Désormais, les défenseurs doivent partir du principe que les agents autonomes font partie intégrante du paysage des menaces, car la frontière entre le trafic d'IA d'entreprise et le trafic C2 des agents devient de plus en plus floue.
Pour plus de détails sur ce type d'attaques, vous pouvez consulter le pré-print technique récemment publié sur Arxiv.