Ce que la CISA a ajouté, et pourquoi c'est une première

La CISA a ajouté CVE-2026-55255, un défaut de contrôle d'accès dans le framework visuel Langflow de création d'agents IA, à son catalogue des vulnérabilités activement exploitées et a ordonné aux agences fédérales américaines de la corriger sous quelques jours. Le défaut est une référence directe à un objet non sécurisée dans le point d'accès /api/v1/responses, touchant toute version antérieure à la 1.9.2: l'autorisation reposait sur un identifiant fourni par l'utilisateur que le serveur ne revalidait jamais, si bien qu'un utilisateur authentifié pouvait invoquer les flux d'un autre.

Ce qui rend cette entrée notable n'est pas la mécanique mais la catégorie. Le catalogue recense de longue date des systèmes d'exploitation, des équipements réseau et des serveurs d'entreprise sous attaque active; Langflow est la première plateforme de création d'agents IA jamais ajoutée. C'est un jalon: la couche d'outillage où les entreprises relient des modèles de langage à leurs propres systèmes est désormais traitée comme une infrastructure vivante et exploitée, pas comme un bac à sable.

Comment un contournement est devenu des clés volées

La société de sécurité Sysdig a retracé une campagne réelle menée du 22 au 25 juin, dans laquelle un opérateur a enchaîné CVE-2026-55255 avec une seconde faille de Langflow, CVE-2026-33017, pour atteindre des flux qui ne lui appartenaient pas et en extraire les secrets stockés. Le butin n'était ni des documents ni des lignes de base de données; c'était des identifiants - des clés d'API de fournisseurs de grands modèles de langage et des clés Amazon Web Services, soutirées par-delà les frontières de locataire sur des instances partagées ou accessibles depuis internet.

C'est là que les dirigeants devraient s'arrêter. Un constructeur d'agents existe pour relier modèles, données et services cloud, donc par conception il stocke les clés qui font ce lien. Quand le contrôle d'accès échoue, l'attaquant n'obtient pas une page défigurée; il obtient les clés qui sont facturées à votre compte, exécutent vos modèles et ouvrent votre cloud. L'exploitation a transformé une couche de confort low-code en un coffre à clés à la serrure cassée.

Pourquoi votre pile IA low-code est désormais une surface d'attaque

La leçon pratique, c'est que les constructeurs d'agents et d'automatisation concentrent des identifiants critiques comme peu d'outils, car chaque connecteur proposé a besoin d'un secret pour fonctionner. L'auto-hébergement ne neutralise pas cela; une instance accessible depuis internet et en retard d'une version sur le correctif suffit, et ces outils montent souvent vite dans une équipe qui expérimente, hors du contrôle habituel. Le rayon d'impact est tout système que ces clés stockées peuvent atteindre.

Pour un opérateur européen s'ajoute un tranchant de conformité. Sous NIS2 et DORA, si des clés de fournisseur fuitées permettent une fraude ou une panne sur votre locataire, l'incident et son horloge de notification sont les vôtres, pas ceux de l'éditeur. L'action est donc peu spectaculaire et précise: inventoriez chaque plateforme d'agents et d'automatisation en usage, passez Langflow à la 1.9.2 ou supérieure, restreignez qui peut l'atteindre et faites tourner chaque clé LLM et cloud que l'instance a détenue. Puis intégrez ces outils au même rythme de gestion des vulnérabilités que toute autre application exposée à internet.