Le CERT-FR met en garde contre les agents IA autonomes OpenClaw et Claude Cowork
Le CERT-FR, le centre gouvernemental français de veille et de réponse aux menaces informatiques, a publié le 13 avril 2026 un bulletin consacré aux risques des outils d’automatisation par IA agentique sur les postes de travail. Le document cible spécifiquement OpenClaw et Claude Cowork, deux solutions dont l’adoption a fortement progressé depuis le début de l’année 2026.
Des agents qui élargissent la surface d’attaque des systèmes d’information
Le bulletin CERTFR-2026-ACT-016 présente un constat sans ambiguïté. Selon le CERT-FR, « les assistants personnels autonomes tels qu’OpenClaw ne doivent pas être déployés sur des postes de travail et leur usage doit être proscrit, tant que le produit n’est pas stabilisé et éprouvé du point de vue de la sécurité ». Ces outils, distincts des assistants conversationnels classiques, peuvent exécuter des commandes système, contrôler un navigateur, lire et écrire des fichiers, gérer un calendrier ou encore envoyer des e-mails, le tout depuis des applications courantes comme Slack, WhatsApp et Discord.
Le CERT-FR identifie plusieurs catégories de risques associés :
- Compromission du poste utilisateur via des vulnérabilités dans des outils encore en version bêta.
- Fuite de données sensibles vers des ressources externes non maîtrisées.
- « Droits d’accès démesurés » accordés aux agents sur l’ensemble des applications bureautiques.
- Exposition des secrets d’authentification.
- « Actions destructrices » affectant l’intégrité ou la disponibilité des données.
Le bulletin souligne également la vulnérabilité des modèles de langage aux injections de prompt. Selon l’organisme, « un agent IA qui orchestre des outils capables d’exécuter des actions au niveau du système d’exploitation augmente fortement le risque de compromission (…), par exemple via des injections de prompt ou des détournements de messages ». Il existe également un « risque résiduel » où l’agent IA pourrait étendre ses capacités de manière autonome, contournant les règles d’autorisation initiales.
Des mes strictes attendues côté DSI et RSSI
Pour les organisations utilisant ou envisageant de déployer ces outils, le CERT-FR recommande que leur usage soit « strictement limité à des environnements de tests isolés (bacs-à-sable) sans aucune donnée sensible ». Toute mise en œuvre doit être validée par les équipes DSI et RSSI. Les recommandations incluent la restriction des droits et outils accessibles à l’agent, l’imposition d’une validation humaine pour les actions critiques, l’isolement des processus d’exécution dans des sandboxes, et l’encadrement des interactions par des listes blanches.
Ce bulletin intervient alors que l’écosystème des agents IA autonomes se structure rapidement. En mars, NVIDIA a lancé NemoClaw, un ensemble d’outils open source pour sécuriser OpenClaw. D’autres entreprises comme OpenAI, Microsoft et Google ont également déployé des plateformes d’entreprise dédiées à la gouvernance des agents IA. Anthropic a, quant à elle, exclu OpenClaw et les outils tiers de ses abonnements Claude, renforçant son écosystème avec Cowork.
Pour les utilisateurs, la méfiance demeure. Selon le rapport Adobe IA et tendances digitales 2026, seulement 30 % des consommateurs français se disent prêts à interagir avec l’agent IA d’une marque, comparé à environ 40 % au niveau européen. L’avis du CERT-FR renforce cette prudence, en rappelant que les fondations de sécurité ne sont pas encore établies.
Source : CERT-FR
