Huit heures. C'est la fenêtre pendant laquelle, le 17 février 2026, des centaines de milliers de machines de développeurs ont potentiellement installé un agent malveillant sans le savoir. La cible, Cline CLI, l'un des assistants de code IA les plus téléchargés au monde avec 418 545 téléchargements mensuels selon les données npm. Le vecteur, un jeton d'authentification compromis, une mise à jour empoisonnée, et OpenClaw installé silencieusement en arrière-plan. L'arme, une pince de homard numérique qui attendait de se refermer.
Ce n'est pas un incident isolé. C'est la démonstration grandeur nature d'une vulnérabilité structurelle que les chercheurs en sécurité documentent depuis deux ans et que l'industrie refuse encore de traiter comme ce qu'elle est vraiment, un défaut architectural de conception, pas un bug à patcher.
Les assistants IA, nouveau maillon faible de la chaîne de développement
Pour comprendre pourquoi cet incident marque un seuil, il faut mesurer à quel point les outils de coding IA se sont imposés dans les workflows de développement en moins de vingt-quatre mois. Selon Stack Overflow (2025), 84 % des développeurs professionnels utilisent des outils IA quotidiennement, contre 76 % en 2024. Cursor revendique plus d'un million d'utilisateurs actifs en moins de deux ans. GitHub Copilot est désormais intégré nativement dans les dernières versions de VSCode.
Ces outils ne sont plus des assistants passifs. Ils peuvent accéder au système de fichiers, exécuter des commandes dans le terminal, interagir avec des APIs externes, créer des pull requests, déclencher des workflows CI/CD. Un agent comme Cline tourne avec les mêmes privilèges système que le processus qui l'héberge, c'est-à-dire souvent ceux de l'utilisateur connecté. Sur une machine de développeur, cela représente un accès à des credentials AWS, des tokens GitHub, des clés d'API de production, des bases de données internes.
La valeur d'une telle machine pour un attaquant est sans commune mesure avec celle d'un poste utilisateur standard. C'est là que se fabriquent les logiciels. C'est là que transitent les secrets qui ouvrent les infrastructures de production.
La mécanique de "Clinejection", un agent compromet un agent
Le 9 février 2026, le chercheur Adnan Khan publie une divulgation publique baptisée "Clinejection". Il documente comment le bot de triage automatique des issues GitHub de Cline, alimenté par Claude, peut être manipulé via un simple titre d'issue malformé pour exfiltrer les tokens npm des workflows GitHub Actions, puis les utiliser pour publier une mise à jour empoisonnée du package.
Huit jours plus tard, un attaquant inconnu reproduit exactement cette chaîne en conditions réelles.
La séquence est élégante dans sa brutalité. L'attaquant ouvre une issue GitHub avec un titre contenant des instructions cachées en langage naturel. Le bot de triage, qui traite automatiquement les nouvelles issues, ingère ce contenu comme du texte de confiance. Il suit les instructions injectées, exfiltre les tokens d'authentification npm depuis les secrets du workflow CI/CD, et les renvoie à l'attaquant. Avec ce token, l'attaquant publie une version de Cline contenant OpenClaw. Les développeurs qui mettent à jour leur outil installent l'agent malveillant sans aucune friction.
Un agent a compromis un agent pour déployer un agent. C'est la première démonstration en conditions réelles d'une attaque multi-agents sur une supply chain logicielle.
Cette vulnérabilité ne concerne pas que Cline. Aikido Security a documenté en décembre 2025 le pattern "PromptPwnd", qui touche tout workflow GitHub Actions ou GitLab CI/CD couplé à un agent IA, que ce soit Gemini CLI, Claude Code, OpenAI Codex ou GitHub AI Inference. Au moins cinq entreprises du Fortune 500 étaient impactées au moment de la divulgation. Google a patché Gemini CLI en quatre jours. Combien d'autres ne l'ont pas encore fait ?
Le marché des agents, une surface d'attaque non cartographiée
OpenClaw, l'outil installé à l'insu des développeurs lors de l'incident Cline, n'est pas un malware obscur. C'est un framework d'agents IA légitime avec sa propre marketplace de plugins, ClawHub, et plus de 135 000 instances exposées à l'internet public selon les dernières données disponibles.
Endor Labs a identifié sept vulnérabilités dans OpenClaw, dont plusieurs classées haute sévérité avec des scores CVSS atteignant 7,6. Failles SSRF, authentifications manquantes, path traversal. Une étude Snyk sur les plugins disponibles sur ClawHub révèle que 36 % d'entre eux contiennent des failles de sécurité, dont certains embarquant des payloads conçus pour voler des credentials ou installer des backdoors.
D'ailleurs, la situation rappelle celle des extensions de navigateur au début des années 2010, un écosystème proliférant, peu vétté, où chaque plugin représentait un vecteur d'entrée potentiel. Sauf que les plugins d'agents IA ne lisent pas votre historique de navigation. Ils exécutent du code avec vos privilèges système.
Barracuda Security a recensé en novembre 2025 quarante-trois composants de frameworks d'agents avec des vulnérabilités introduites par compromission de supply chain. La plupart des développeurs tournaient encore sur des versions vulnérables au moment de la publication du rapport, sans le savoir.
L'inertie structurelle, pourquoi la surface d'attaque ne peut que croître
La prompt injection n'est pas un bug. Elle résulte d'une caractéristique fondamentale des grands modèles de langage, leur incapacité à distinguer de manière fiable entre des instructions de confiance et du contenu externe non vérifié. Tout ce qui arrive dans la fenêtre de contexte est traité comme un flux de tokens potentiellement actionnable. Une instruction cachée dans un PDF, un commentaire dans un fichier de configuration, un titre d'issue GitHub, tous peuvent contenir des commandes que le modèle interprétera comme légitimes.
L'OWASP classe prompt injection en première position de son Top 10 pour les applications LLM (2025), présente dans 73 % des déploiements IA en production évalués lors d'audits de sécurité. Les recherches académiques publiées entre 2025 et 2026 montrent que les taux de succès des attaques par prompt injection sur les systèmes agents avec auto-exécution activée atteignent entre 66,9 % et 84,1 %.
Ce chiffre mérite d'être absorbé. Deux attaques sur trois réussissent. Trois sur quatre dans les conditions les plus favorables à l'attaquant.
Les attaques multi-étapes documentées par Palo Alto Unit42 (octobre 2025) ajoutent une dimension supplémentaire. Dans un scénario dit de "salami slicing", un attaquant peut soumettre une dizaine de requêtes apparemment anodines sur plusieurs jours, chacune redéfinissant légèrement ce que l'agent considère comme un comportement normal. À la dixième interaction, le modèle a dérivé suffisamment loin de ses contraintes initiales pour exécuter des actions non autorisées sans en avoir conscience. Chaque requête individuelle passe tous les filtres. L'accumulation est catastrophique. Les outils de surveillance traditionnels n'ont pas été conçus pour détecter une telle dérive sémantique progressive, invisible dans les logs, absente des alertes.
La résolution est structurellement difficile. Augmenter les gardes-fous du modèle réduit ses capacités agentic. Isoler les contextes de confiance complexifie l'architecture au point de rendre certains cas d'usage impraticables. Chaque nouvelle intégration, chaque nouveau MCP server, chaque nouveau plugin élargit mécaniquement la surface exposée. Plus les agents sont capables, plus ils sont vulnérables.
Les angles morts de l'analyse
La première erreur serait de réduire ce problème à l'incident Cline. C'est une illustration, pas un plafond. GitHub Copilot a subi CVE-2025-53773 en 2025, une exécution de code à distance par prompt injection avec un score CVSS de 9,6, affectant potentiellement des millions de machines de développeurs selon une revue académique publiée par MDPI en janvier 2026. Cursor, Google Gemini CLI, les outils de ServiceNow, tous ont présenté des vulnérabilités analogues dans les dix-huit derniers mois.
Deuxième angle mort, l'hypothèse que les utilisateurs détecteront l'anomalie. Les attaques les plus sophistiquées documentées en 2025 ne cherchent pas à déclencher des comportements immédiatement visibles. Lakera AI a démontré en novembre 2025 comment une injection dans la mémoire longue d'un agent peut faire développer à celui-ci des "fausses croyances" persistantes sur des politiques de sécurité, croyances qu'il défend comme correctes quand on le questionne. Le "sleeper agent" ne se manifeste que des semaines après l'infection initiale.
Troisième angle mort, la dimension humaine sous-évaluée. LayerX (2025) indique que 77 % des employés en entreprise qui utilisent des outils IA ont collé des données d'entreprise dans un chatbot, et 22 % de ces instances incluaient des données confidentielles. La surface d'attaque ne passe pas seulement par le code. Elle passe par les comportements quotidiens de millions de travailleurs du savoir qui font confiance à leurs outils.
Quatrième angle mort, la réponse réglementaire est en retard structurel. L'AI Act européen et le NIST AI RMF (2025) imposent désormais des contrôles spécifiques pour la prévention des attaques par prompt injection. Mais le gap entre les exigences de conformité et la réalité opérationnelle des équipes de développement qui déploient des agents IA en production en quelques jours reste béant.
Conséquences stratégiques
L'incident Cline n'est pas un accident. C'est la confirmation que les outils de développement IA sont devenus une cible prioritaire pour les attaquants sophistiqués, précisément parce qu'ils représentent un point d'entrée vers les infrastructures de production entières.
Pour un RSSI en 2026, la question n'est plus de savoir si ses développeurs utilisent des agents IA. La réponse est 84 %, et elle grimpe chaque trimestre. La question opérationnelle est de savoir si ces agents tournent avec des privilèges minimaux, si les outputs sont validés avant exécution, si chaque plugin et chaque intégration MCP a été soumis à un audit de sécurité.
L'IA qui génère du code est une révolution de productivité. L'IA qui exécute du code avec des privilèges non contrôlés est une arme attendant un attaquant assez patient pour en comprendre le mécanisme.
Huit heures ont suffi pour le démontrer le 17 février 2026. La prochaine fenêtre sera peut-être plus courte.
Cédric Pellicer