TL; DR
En décembre 2025, un événement critique se produira. Vulnérabilité de l'IA de ServiceNow L'usurpation d'identité et l'exploitation complète du flux de travail ont été activées. Un statique Les identifiants et la faible liaison d'identité permettent aux agents d'agir avec des identités falsifiées, y compris en abusant de la confiance entre agents. Il s'agit d'une faille d'identité en cours d'exécution, et nous devons en tirer des enseignements importants. Merci à ServiceNow pour la correction rapide et la transparence qui ont permis d'aller au-delà de la CVE.
Qu'est-il arrivé?
Fin décembre 2025, des chercheurs en sécurité divulgués une vulnérabilité critique d'authentification et d'autorisationerabilité dans la plateforme d'IA de ServiceNow, référencée ultérieurement sous la référence CVE-2025-12420. La faille affectait le module Virtual ADes chercheurs ont constaté qu'une vulnérabilité affectant l'API gent et les agents d'IA Now Assist pouvait permettre à un attaquant potentiel d'usurper l'identité d'utilisateurs arbitraires, y compris des administrateurs, de créer des comptes privilégiés, d'exécuter des flux de travail et d'obtenir ainsi un contrôle total sur le tenant ServiceNow d'un client, avec la possibilité d'accéder aux systèmes d'entreprise connectés. Cette vulnérabilité résulte de la combinaison d'identifiants d'intégration statiques, d'une vérification d'identité insuffisante au niveau de l'API et d'agents d'IA exécutant des actions basées sur un contexte d'identité non vérifié, contournant ainsi les contrôles traditionnels.
ServiceNow a collaboré étroitement avec les chercheurs à l'origine du signalement, a déployé des correctifs et des modifications de configuration début janvier 2026, a renouvelé les identifiants intégrés et a communiqué directement aux clients des recommandations de prévention. Aucune preuve publique d'exploitation généralisée n'a été constatée. L'importance de cet incident réside moins dans les dommages observés que dans ce qu'il a révélé sur l'intersection actuelle entre automatisation et identité au sein des plateformes d'entreprise.
Un scénario d'armement possible
Un attaquant identifie l'URL du tenant ServiceNow d'un client et obtient l'adresse e-mail d'un utilisateur privilégié. En exploitant une faille de sécurité dans l'API Virtual Agent, il usurpe l'identité de cet utilisateur sans authentification, contournant ainsi l'authentification multifacteur (MFA) et l'authentification unique (SSO).
À l'aide des agents d'IA de Now Assist, l'attaquant automatise la création d'un nouveau compte administrateur et l'attribution de rôles à privilèges élevés. Ces actions sont exécutées via des flux de travail approuvés et enregistrées comme activité légitime. L'attaquant exploite ensuite les intégrations ServiceNow pour réinitialiser les identifiants auprès d'un fournisseur d'identité connecté, obtenir l'accès à des environnements cloud ou désactiver les alertes.
À ce stade, la vulnérabilité est pleinement exploitée. L'attaquant établit un contrôle administratif persistant en utilisant la logique métier plutôt que des exploits et se déplace latéralement vers les systèmes en aval qui font confiance à ServiceNow comme plan de contrôle.
Son identité : confiance d'exécution pour les agents
« Ce qui a rendu cette fuite grave, ce n'est pas l'absence de contrôles de sécurité, mais leur limitation. L'identité était vérifiée une seule fois, au point d'entrée, puis considérée comme fiable de façon permanente. Après ce moment, l'identité n'était plus vérifiée, revalidée ni remise en question lors de l'exécution des actions. »
Ce modèle se heurte à des difficultés dans les systèmes multi-agents. Les agents sont de longue durée, autonome et compositionnelIls opèrent dans le temps, font appel à d'autres agents et déclenchent des flux de travail sans intervention humaine. Chaque action renforce la confiance au sein du système, pourtant… L'identité qui sous-tend ces actions n'est jamais réaffirmée ni réévaluée..
De ce fait, l'identité est devenue une étiquette statique plutôt qu'un mécanisme de contrôle dynamique. L'autorité était appliquée en périphérie, tandis que le véritable pouvoir s'exerçait au cœur même du flux d'exécution. Lorsqu'une assertion d'identité initiale était erronée, chaque décision prise en aval héritait de cette erreur.
Dans un environnement où l'agentivité est présente, l'identité doit accompagner l'action. Les agents ont besoin d'une identité propre.Des limites claires à leurs actions et des règles explicites encadrant la délégation d'autorité entre les agents sont indispensables. Sans validation d'identité en temps réel, l'automatisation ne se contente pas d'être plus rapide ; elle avance à l'aveugle.
webinaire à la demande
Le prochain défi en matière d'identité : sécuriser les agents d'IA
- Pourquoi les agents IA constituent une nouvelle forme d'identité
- Comment la confiance et la gouvernance s'intègrent à l'équation
- Stratégies pour sécuriser les agents d'IA au sein de votre organisation
Leçons sur la sécurité de l'identité
Si vous êtes en train de construire/sécurisation/garderailingue agents, Voici mon point de vue sur le splusieurs identifiantsentité et Des schémas de défaillance du contrôle d'accès sont apparus avec une clarté inhabituelle, révélant la vulnérabilité avec laquelle ces agents et leurs identifiants/leur confiance ont été formés :
Usurpation d'identité sans authentification
La plateforme acceptait les affirmations d'identité basées sur des identifiants faibles plutôt que sur une preuve cryptographique. Les adresses électroniques servaient de jetons d'identité, court-circuitant ainsi la validation de session, l'authentification multifacteur et les niveaux de sécurité.
Élévation de privilèges et persistance
Une fois l'usurpation d'identité réussie, les attaquants n'avaient plus besoin d'exploiter supplémentaire vulnérabilités. Ils ont utilisé des flux de travail légitimes pour créerle nouveau pcomptes privilégiés et modifier rôles, établissement persistance par le biais de modifications d'état autorisées plutôt que par des portes dérobées secrètes.
abus de la logique métier et des flux de travail
La faille de sécurité reposait sur une automatisation approuvée fonctionnant exactement comme prévu. Flux de provisionnement, approbations et modifications de configuration réalisé En effet, sous une fausse identité. Cela a déplacé la surface d'attaque des failles du code vers les hypothèses de confiance intégrées à la logique métier.
abus de confiance entre agents
Les agents ont délégué leur autorité à d'autres agents sans revérifier leur identité ni leurs intentions. Ceci a engendré un scénario moderne de délégation de pouvoir confuse, où la confiance se propageait de manière transitive entre les agents, amplifiant ainsi l'impact d'une seule compromission d'identité.
Exécution de second ordre
Des contributions de faible confiance ont déclenché indirectement des actions à privilèges élevés par le biais d'interactions.médiation agents. La surface d'attaque ne résidait pas dans la manipulation de l'invite de commande ou du langage, mais dans le contexte d'exécution et l'autorité déléguée.
Détection et audit de l'érosion
Lorsque la couche d'identité elle-même a été compromise et que les attaquants ont continué à remonter le courant, des actions ont été entreprises. semblait être Activité légitime des utilisateurs. De ce fait, la surveillance traditionnelle basée sur l'identité et l'analyse comportementale ont perdu de leur pertinence. Ensemble, ces modèles démontrer que les systèmes agents érodent la sécurité traditionnelle superposition à moins que l'identité Les commandes sont L'application de ces mesures est continue, contextuelle et en temps réel. Lorsque l'identité est considérée comme une supposition plutôt que comme un contrôle, l'automatisation devient un facteur de compromission plutôt qu'un atout pour la sécurité.
Conclusion : De la mauvaise configuration à la prochaine APT
Ce scénario d'attaque révèle une défaillance systémique dans la conception et l'exécution des agents d'IA, et non une faille isolée. Dans le flux d'interaction entre agents, l'identité était validée une seule fois, puis présumée indéfiniment. La confiance se propageait entre les agents et les flux de travail sans revalidation. Chaque décision semblait raisonnable prise individuellement, mais ensemble, elles formaient un chemin d'exécution non sécurisé. Il s'agit de vulnérabilités au niveau du flux, liées à la manière dont l'autorité circule dans les systèmes autonomes, compositionnels et de longue durée.
Le point aveugle n'est pas la qualité du code, mais la continuité de la confiance. Les organisations doivent rechercher les chemins de confiance non sécurisés, et pas seulement les erreurs de configuration. Les équipes IAM et de sécurité doivent partir du principe que ces erreurs se produiront et les mettre en œuvre. sécurité d'identité en temps réel Ainsi, les abus sont détectés et stoppés même lorsque les hypothèses de conception sont erronées. Il s'agit également d'un appel à la communauté de la validation des attaques pour qu'elle modélise les vecteurs d'attaques automatisées et les défaillances de propagation de la confiance.
Ne laissons pas la rapidité d'adoption de l'IA et l'esprit d'expérimentation négliger la gestion des identités. Face à la vitesse supérieure des systèmes d'agents par rapport aux contrôles traditionnels, la sécurité des identités doit s'étendre à de nouveaux domaines : continu, en temps réel et contextuel. Les organisations qui adapteront la gestion des identités à la réalité du travail seront celles qui garderont une longueur d'avance sur l'avenir.
Il ne s'agit pas de la prochaine génération d'attaques. Les groupes d'attaquants intègrent déjà des techniques d'analyse, de contournement des défis et d'exploitation de ces failles de sécurité dans leur infrastructure APT et les testent contre de grandes entreprises.
Vous souhaitez en savoir plus sur la sécurisation des agents IA ?
Découvrez comment unifier la découverte, l'évaluation des risques et l'application en temps réel des réglementations dans les environnements pilotés par l'IA.
Ressources
CVE-2025-12420
Fiche CVE officielle décrivant la vulnérabilité d'authentification et d'autorisation de ServiceNow.
https://nvd.nist.gov/vuln/detail/CVE-2025-12420
Avis de sécurité et notification aux clients de ServiceNow (Janvier 2026)
Guide officiel de ServiceNow concernant la divulgation et la correction de la vulnérabilité de Virtual Agent et de Now Assist AI.
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB0XXXXXX
(Remarque : les avis de ServiceNow sont accessibles aux clients ; les identifiants exacts de la base de connaissances varient selon l’instance.)
Recherche AppOmni : Vulnérabilité de type « BodySnatcher » liée à l’IA agentique dans ServiceNow
Analyse technique détaillée par un tiers de la vulnérabilité, des voies d'exploitation et des schémas d'abus de l'agent.
https://appomni.com/ao-labs/bodysnatcher-agentic-ai-security-vulnerability-in-servicenow/
Lecture sombre
Rapports indépendants et analyses d'experts sur la vulnérabilité et ses implications pour les plateformes SaaS basées sur l'IA.
https://www.darkreading.com/remote-workforce/ai-vulnerability-servicenow
Avis de ThaiCERT concernant une vulnérabilité de l'IA de ServiceNow
Analyse du CERT national mettant en évidence les risques, les composants affectés et les recommandations d'atténuation.
https://www.thaicert.or.th/en/2026/01/15/critical-ai-driven-vulnerability-discovered-in-servicenow-could-lead-to-full-system-compromise/