système : OPÉRATIONNEL
← retour à tous les hacks
AGENTS MEDIUM NEW

OWASP ASI03 : quand un agent hérite de plus d'identité qu'il ne devrait

L'abus d'identité et de privilèges est le risque n°3 du Top 10 OWASP pour les applications agentiques. Un agent obtient rarement sa propre identité — il hérite de la vôtre, accumule des droits et conserve des jetons qui survivent à la tâche.

2026-06-29 // 7 min affects: llm-agents, mcp-servers, non-human-identities, tool-using-agents

De quoi s’agit-il ?

ASI03 — Abus d’identité et de privilèges est la troisième entrée du Top 10 OWASP pour les applications agentiques, le référentiel de sécurité agentique publié par l’Agentic Security Initiative du projet OWASP GenAI Security (la liste a été introduite en décembre 2025). La catégorie a fait l’objet d’une analyse dédiée le 25 juin 2026 par Adversa AI, ce qui motive ce décryptage défensif.

ASI03 désigne la classe de risques qui apparaît lorsqu’un agent IA accumule, hérite ou exploite des identifiants et des permissions au-delà de son périmètre opérationnel prévu. Elle complète notre couverture d’ASI02 — Détournement et exploitation d’outils et d’ASI06 — Empoisonnement mémoire et contexte, et complète la façon dont le référentiel décompose le risque agentique. Si OWASP classe l’abus d’identité au 3ᵉ rang, c’est pour une raison structurelle : il détermine le rayon d’impact de toutes les autres entrées. Un détournement d’objectif ou un détournement d’outil n’est dangereux qu’à hauteur des identifiants que l’agent détient au moment où il se déclenche.

Comment cela fonctionne

Le problème de fond, énoncé sans détour dans le matériel OWASP comme dans les analyses d’Adversa et de la CSA, est que les agents obtiennent rarement leur propre identité — ils héritent de la vôtre. Trois propriétés rendent cela dangereux.

1. HÉRITÉ      l'agent s'exécute sous les identifiants d'un humain ou
               d'un service, pas sous une identité dédiée et restreinte

2. ACCUMULÉ    les permissions s'empilent au fil des appels d'outils et
               des sessions, au lieu d'être accordées par tâche puis rendues

3. PERSISTANT  jetons et sessions délégués survivent à la tâche qui les a
               requis, et restent disponibles pour être réutilisés ou volés

L’identité d’un agent devient un point d’agrégation : elle englobe non seulement les identifiants provisionnés de l’agent, mais aussi tout jeton, clé d’API ou session déléguée qu’il récupère via des appels d’outils, des réponses d’API ou un contexte injecté. Rien de tout cela n’exige un exploit logiciel classique. Le mécanisme, c’est le fonctionnement ordinaire de l’agent : il demande ce dont il a besoin, on lui accorde plus que nécessaire, et il ne le restitue jamais.

Cette agrégation est ce qui rend la catégorie attrayante pour un attaquant, et explique pourquoi ASI03 se situe en aval des autres risques. Une injection de prompt (LLM01) ou une fuite d’information sensible (LLM02) devient bien plus grave lorsque l’agent visé porte des identifiants étendus et de longue durée. Comme le formule OWASP, compromettre un seul agent surprivilégié coûte moins cher que d’hameçonner cent humains, car l’agent a déjà fait le travail de collecte d’identifiants à votre place.

Aucun payload n’est reproduit ici ; la forme est la leçon. Une identité trop large, plus un canal d’entrée non fiable, plus un jeton persistant : voilà un incident d’abus de privilèges qui n’attend qu’un déclencheur.

Pourquoi c’est important

L’ampleur du surprovisionnement des identités non humaines (NHI) est la partie que les défenseurs sous-estiment. Les chiffres du secteur cités dans le guide Adversa sont éloquents : environ 73 % des secrets détenus par des identités non humaines portent des permissions excessives, et près d’une identité machine AWS sur vingt dispose de privilèges d’administration complets. Lorsqu’un agent hérite ou acquiert l’un de ces identifiants, le rayon d’impact potentiel d’une compromission s’étend bien au-delà de ce que la finalité initiale de l’agent justifiait.

Cela compte aujourd’hui parce que le nombre d’identités non humaines dans une entreprise type dépasse déjà largement celui des humains, et que les déploiements agentiques en ajoutent chaque semaine — chacune étant un point d’agrégation potentiel. La gouvernance des identités traditionnelle a été conçue autour des cycles de vie humains : arrivée, changement de rôle, départ, revues d’accès périodiques mesurées en mois. Les agents opèrent à l’échelle de la seconde et engendrent des sous-agents et des sessions d’outils qu’aucune revue d’accès trimestrielle ne verra jamais.

ASI03 est aussi largement invisible pour les contrôles périmétriques. Chaque identifiant utilisé par l’agent est, par définition, un identifiant qui lui a été délivré. Il n’y a ni paquet malformé ni binaire non autorisé ; il y a une identité autorisée qui fait des choses autorisées avec plus d’autorité que la situation ne l’exigeait. La défaillance relève du périmètre et du cycle de vie, pas de l’authentification — précisément le type de défaillance que les outils à base de signatures ou de motifs ne détectent pas.

Défenses

OWASP, Adversa et l’Agent Identity Governance Framework de la Cloud Security Alliance convergent vers un ensemble de contrôles cohérent. Rien d’exotique ; la discipline consiste à l’appliquer aux identités machine, à la vitesse des agents.

  1. Donnez à chaque agent sa propre identité. Ne laissez pas les agents s’exécuter sous un compte humain ou un principal de service partagé. Une identité distincte et attribuable par agent est la condition préalable pour pouvoir restreindre, auditer et révoquer quoi que ce soit.
  2. Restreignez par tâche, pas par agent. Accordez les permissions les plus étroites que la tâche immédiate exige, tirées d’un rôle défini, et évitez les droits permanents et larges. Traitez « que pourrait faire cette identité au pire jour ? » comme une entrée de conception, pas comme une question de réponse à incident.
  3. Rendez les identifiants éphémères et liés. Privilégiez des jetons à durée de vie courte, émis juste-à-temps, limités à une seule tâche ou session, idéalement liés à la charge de travail, afin qu’un jeton fuité expire avant d’être utile et ne puisse être rejoué ailleurs.
  4. Stoppez l’accumulation de privilèges entre sessions. Restituez les jetons et sessions délégués acquis à la fin de la tâche ; ne laissez pas l’autorité effective de l’agent croître sur sa durée de vie.
  5. Gouvernez la délégation explicitement. Lorsqu’un agent appelle un autre agent ou un outil qui se ré-authentifie, propagez l’identité et l’autorisation intentionnellement — le problème de propagation d’autorisation est un mode de défaillance à part entière, et l’héritage silencieux de privilèges entre agents est l’endroit où les systèmes multi-agents fuient le plus.
  6. Inventoriez et surveillez les identités non humaines en continu. On ne peut pas restreindre ce qu’on ne voit pas. Maintenez un inventaire vivant des identités d’agents et de leurs droits, et alertez sur les permissions excessives, les identifiants dormants mais privilégiés et les usages anormaux. Appliquez aux NHI la même rigueur que les programmes matures appliquent aux arrivées et départs d’humains — à cadence machine.

Le principe unificateur : l’identité d’un agent est une frontière d’autorisation, pas une commodité. Concevez l’autorité que porte chaque identité et la durée de vie de chaque jeton qu’elle détient, et partez du principe que tout identifiant laissé à l’abandon finira par être hérité par quelque chose que vous n’aviez pas prévu.

Statut

ÉlémentRéférenceDateNotes
Top 10 OWASP pour les applications agentiquesOWASP GenAI2025–2026ASI03 = Abus d’identité et de privilèges, point n°3 sur 10
Guide d’analyse ASI03Adversa AI2026-06-25Définitions, statistiques NHI, contrôles défensifs
Modélisation de la menacedisesdi2026Vue côté attaquant d’ASI03
Agent Identity Governance FrameworkCloud Security Alliance2026Modèle de gouvernance des identités d’agents / NHI

ASI03 est une catégorie de référentiel, pas un CVE isolé — elle continuera de « se corriger » uniquement au rythme où les concepteurs donneront aux agents leur propre identité, restreinte et de courte durée, et traiteront les identifiants non humains avec la même discipline de cycle de vie que les identifiants humains. À retenir pour quiconque met un agent en production : recensez chaque identifiant qu’il peut détenir, déterminez ce que son pire usage légitime vous coûterait, et restreignez l’identité avant même que l’agent ne se mette à raisonner.

Sources