Les systèmes multi-agents reposent sur la collaboration et l’échange constant d’informations entre agents spécialisés. Le risque ASI07 - Insecure Inter-Agent Communication survient lorsque les canaux utilisés ne sont pas sécurisés, exposant le système à des attaques de type “Man-in-the-Middle” adaptées à la couche sémantique des agents.
Le problème clé
Si les agents communiquent en clair, sans authentification mutuelle forte ni garantie d’intégrité, un attaquant peut intercepter, modifier, rejouer ou usurper des messages. Dans un système où la confiance est implicite, les conséquences peuvent être désastreuses.
Analyse STRIDE
Voici comment les menaces STRIDE s’appliquent aux communications inter-agents, en lien avec les scénarios ci-dessous :
| Menace | Impact dans le contexte agentique | Lien Scénario |
|---|---|---|
| Spoofing | Un agent malveillant usurpe l’identité d’un agent légitime (ex: “Superviseur”) pour donner des ordres. | Scénario 1 (Imposteur) |
| Tampering | Modification d’un message en transit entre deux agents (ex: changer les paramètres d’une action). | Scénario 2 (Modification d’ordre) |
| Repudiation | Sans signature numérique, un agent peut nier avoir envoyé une instruction critique ayant causé un incident. | Général |
| Information Disclosure | Interception de messages non chiffrés contenant des données sensibles échangées entre agents. | Général |
| Denial of Service | Flooding des canaux de communication inter-agents pour paralyser la coordination du système. | - |
| Elevation of Privilege | Un agent à faibles privilèges réussit à envoyer des commandes à un agent à hauts privilèges faute de contrôle d’accès. | Scénario 1 |
Comment ça marche ? (Vecteurs)
- Usurpation d’Identité (Spoofing) : Se faire passer pour un agent légitime pour envoyer des ordres non autorisés.
- Modification de Messages (Tampering) : Altération du contenu d’un message en transit.
- Attaque par Rejeu (Replay) : Renvoi d’un message valide antérieur pour forcer la répétition d’une action.
- Divulgation d’Informations : Écoute passive du trafic non chiffré.
Scénarios d’attaque clés (Exemples)
1. L’Agent Imposteur (Spoofing / Elevation of Privilege)
Dans une chaîne logistique, un attaquant introduit un agent malveillant qui usurpe l’identité de l’agent “Gestionnaire de Stocks”. Il envoie des messages falsifiés aux agents “Commandes” pour déclencher des réapprovisionnements massifs d’articles coûteux vers une adresse contrôlée par l’attaquant.
2. Modification d’Ordre Financier (Tampering)
Un agent “Financier” demande à un agent “Paiement” un virement de 100€. Un attaquant intercepte le message et modifie le montant à 100 000€ avant qu’il n’arrive. L’agent de paiement exécute le virement frauduleux.
Vulnérabilités réellement connues
- Attaques Byzantines : Des plateformes de trading multi-agents ont dû implémenter des protocoles résistants aux fautes byzantines car des attaquants pouvaient usurper des agents pour manipuler le marché.
- Perturbation par Apprentissage par Renforcement : Des recherches montrent que des adversaires IA peuvent apprendre à perturber efficacement les communications dans des systèmes multi-agents.
Solutions & Défenses (Mitigation)
Principes Architecturaux
- Authentification Mutuelle Forte : Utiliser mTLS avec des certificats pour chaque agent.
- Chiffrement de Bout en Bout : Chiffrer tous les échanges pour garantir la confidentialité.
- Signature des Messages : Signer numériquement les instructions critiques pour garantir l’intégrité et la non-répudiation.
Boîte à outils CI/CD
- Protocoles Sécurisés : Définir des schémas de communication stricts. Les agents ne doivent accepter que des messages conformes et authentifiés.
- Validation des Entrées : Valider rigoureusement chaque message reçu avant traitement.