La règle n'a jamais été enfreinte
Le 30 juin 2026, l'équipe sécurité de Microsoft a publié une alerte sur les outils auxquels vos agents IA se connectent. Le problème n'est ni un virus ni une faille non corrigée. C'est la courte description en langage clair fournie avec chaque outil pour indiquer à l'agent ce que fait l'outil et quand l'utiliser. Un agent lit ce texte et lui fait confiance. Si un attaquant le modifie, l'agent suit la modification.
L'exemple de Microsoft est volontairement banal. On demande à un agent financier de rassembler les trente dernières factures impayées et de les envoyer à un serveur. Chaque étape prise isolément paraît légitime, si bien que rien ne déclenche d'alerte. L'agent n'est pas piraté. Il reçoit des instructions, à un endroit que personne n'avait songé à protéger.
C'est déjà arrivé
Ce n'est pas un scénario de laboratoire. En septembre 2025, des chercheurs ont découvert un paquet npm nommé postmark-mcp qui avait reproduit un outil d'e-mail légitime à travers quinze versions propres. La version 1.0.16 y a glissé une seule ligne qui copiait secrètement chaque e-mail envoyé par l'agent vers une adresse externe. Les équipes qui avaient approuvé l'outil des mois plus tôt se sont retrouvées exposées dès l'instant où elles ont mis à jour.
Si cette catégorie d'attaque continue de fonctionner, c'est parce que la plupart des contrôles surveillent le modèle, pas la boîte à outils. Un filtre d'invite lit ce que tape l'utilisateur. Il ne relit pas la description d'un outil auquel l'agent fait confiance depuis six mois, or c'est précisément là que se cache désormais l'instruction.
Traitez vos outils comme une chaîne d'approvisionnement
Les recommandations mêmes de Microsoft offrent le bon cadre pour un dirigeant. Chaque outil connecté fait partie de votre chaîne d'approvisionnement. Tenez une liste des éditeurs d'outils approuvés, désactivez le tout-autoriser et ne laissez chaque agent utiliser que les outils précis dont il a besoin. Traitez la description d'un outil comme une invite système, relisez toute modification comme vous reliriez un changement de code, et signalez les commandes qui n'ont rien à faire dans un champ d'aide.
Rien de tout cela n'exige un nouveau produit. Cela exige de savoir à quoi vos agents sont connectés, qui l'a écrit et ce qui a changé depuis votre approbation. La plupart des entreprises qui déploient des agents en finance, en achats et en support ne peuvent pas répondre à ces trois questions aujourd'hui, et c'est là que réside le vrai risque.
À lire ensuite: Votre navigateur IA peut divulguer vos mots de passe · Votre fournisseur cloud s'installe chez vous