Le CERT-FR a récemment publié un bulletin d'alerte sur les agents IA autonomes installés sur les postes de travail. Des outils comme OpenClaw ou Claude Cowork, en pleine adoption depuis le début de l'année, ouvrent de potentielles vulnérabilités qui les rendent forcément incompatibles avec un usage en environnement professionnel.
Ces assistants de nouvelle génération ne se contentent plus de répondre à des questions, d'analyser des documents ou de générer des tableurs. Ils peuvent désormais agir directement sur le système de l'utilisateur. De l'exécution de commandes à la gestion du calendrier, en passant par l'envoi d'emails, ou la lecture et l'écriture de fichiers, ils prennent ainsi le contrôle de la machine via un simple message texte envoyé sur Slack, WhatsApp ou Discord. Dans son bulletin CERTFR-2026-ACT-016 publié le 13 avril, le CERT-FR conclut que ces outils ne doivent pas être déployés sur des postes de travail tant qu'ils ne sont pas stables et véritablement sécurisés.
OpenClaw : des droits système trop larges, une surface d'attaque difficile à maîtriser
Ce qui pose problème, c'est le fonctionnement des plugins, ces modules complémentaires qui enrichissent les capacités de ces agents. Ces modules peuvent être chargés de manière dynamique et s'exécutent avec les mêmes privilèges que l'application hôte. Concrètement, un plugin compromis ou malveillant peut donc potentiellement obtenir un accès à l'ensemble de l'environnement de l'utilisateur et donc à sa messagerie, son agenda, ses fichiers, mais aussi ses applications métier, ses outils RH, ou ses données bancaires.
Sans la mise en place d'une politique stricte de gestion des postes avec un contrôle des installations, l'utilisateur risque donc de voir des éléments potentiellement malveillants s'installer sur son PC (shadow IT) et de perdre la maîtrise du système d'information. Parmi les risques listés par le CERT-FR, il est bien entendu question de fuites de données sensibles, de transmission des identifiants de connexion, de donner des droits d'accès excessifs sur l'ensemble des applications bureautiques, et potentiellement de supprimer par accident des données ou applications métier. Rappelons au passage que la plupart de ces outils sont encore en bêta et donc instables, ou imprévisibles.
À l'instar des navigateurs agentiques, ces systèmes d'automatisation restent vulnérables aux injections de prompt. Autrement dit, un attaquant peut glisser des instructions malveillantes dans un document, un email ou un message traité par l'agent, que celui-ci exécutera comme s'il s'agissait d'ordres légitimes émanant de l'utilisateur. Le CERT-FR signale par ailleurs qu'un agent IA pourrait potentiellement étendre ses capacités de manière autonome en contournant des règles. Il est donc important de bien formuler les prompts tout en durcissant la configuration.
Pour les organisations souhaitant tout de même évaluer ces outils, le bulletin fixe des conditions strictes :
"Afin de limiter leurs impacts, leur mise en œuvre doit être réalisée sous validation préalable des équipes DSI et RSSI (avec acceptation des risques résiduels), et conditionnée à des règles d’autorisation explicites, un cadrage rigoureux des canaux de messagerie utilisés, des approbations d’exécution et un isolement des processus (sandbox)"
Ces recommandations s'appliquent aux postes Windows et Linux, ainsi qu'aux appareils mobiles.
