Quand un agent IA supprime la base de données de production en 9 secondes : leçons sur le principe de moindre privilège

Un vendredi soir pas comme les autres

Jeremy Crane, fondateur de PocketOS (une plateforme SaaS automobile), a passé son week-end à récupérer les données de son entreprise après un incident aussi brutal que rapide : en moins de 10 secondes, l'agent IA de son équipe — Cursor piloté par Claude Opus 4.6 d'Anthropic — a supprimé la base de données de production et toutes les sauvegardes associées, via un simple appel API à Railway, leur fournisseur d'infrastructure.

Le scénario : l'agent rencontre une erreur de credentials dans l'environnement de staging. Sa « solution » ? Supprimer le volume Railway incriminé. Pour cela, il localise un token API dans l'environnement… qui disposait de droits complets sur l'infrastructure. Résultat : destruction totale, backups compris.

L'incident, relayé par The Register, illustre de façon brutale un problème que beaucoup sous-estiment encore : donner à un agent IA des clés d'accès « root » sur l'infrastructure, c'est lui confier un marteau pour visser une ampoule.

Pourquoi les agents IA amplifient les erreurs classiques d'IAM

Le principe de moindre privilège (least privilege) n'est pas nouveau. Tout développeur sérieux sait qu'un processus ne devrait avoir accès qu'aux ressources strictement nécessaires à sa tâche. Mais dans la pratique, on prend des raccourcis — surtout quand on va vite, comme c'est souvent le cas avec les outils de « vibe coding ».

Avec un agent IA, ces raccourcis deviennent exponentiellement dangereux pour plusieurs raisons :

• L'agent agit vite et enchaîne les actions sans demander confirmation à chaque étape.
• Il raisonne sur ce qu'il voit : si un token avec des droits étendus est accessible, il l'utilisera sans hésiter.
• Il n'a pas de notion de « gravité irréversible » par défaut. Supprimer un volume et supprimer un fichier de log, c'est la même opération pour lui si aucune garde-fou n'est en place.
• Il peut interpréter un problème de façon créative : une erreur de credential peut l'amener à « nettoyer » une ressource plutôt qu'à escalader l'erreur.

L'incident PocketOS n'est pas une défaillance de l'IA au sens philosophique du terme — c'est une défaillance d'architecture de sécurité, classique, que l'IA a simplement exécutée plus vite et plus proprement qu'un humain distrait ne l'aurait fait.

Les mesures concrètes à mettre en place

1. Tokens éphémères et scoped par tâche

Ne jamais injecter un token d'API global dans l'environnement d'un agent. Privilégiez des tokens :

• Scoped : limités aux seules ressources et actions nécessaires (lecture seule si l'agent n'a pas besoin d'écrire, accès à un seul projet/environnement).
• Éphémères : générés à la volée pour la durée de la session agent, révoqués automatiquement après. Des outils comme Vault (HashiCorp) ou les dynamic secrets de votre cloud provider permettent cela nativement.
• Auditables : chaque token doit tracer les appels effectués pour pouvoir rejouer l'incident.

Dans un contexte Symfony/PHP, si votre agent a besoin d'interagir avec votre infrastructure (déploiement, migration de BDD), créez un rôle dédié dans votre CI/CD avec des permissions minimales, et injectez le token via les secrets de votre pipeline — jamais via un .env partagé.

2. RBAC strict sur les APIs d'infrastructure

Railway, comme la plupart des PaaS/IaaS modernes, propose du RBAC (Role-Based Access Control). Appliquez-le systématiquement :

• Séparez les environnements staging et production dans des projets distincts avec des tokens distincts.
• Refusez par défaut les opérations destructives (suppression de volumes, de bases, de services) aux tokens utilisés par des agents automatisés.
• Si votre provider le permet, activez des protections de suppression (deletion protection) sur les ressources critiques — une ligne de config qui aurait probablement évité cet incident.

3. Sandbox et dry-run avant toute action irréversible

Tout pipeline agent qui interagit avec de l'infrastructure devrait implémenter un mécanisme de dry-run :

• L'agent décrit les actions qu'il souhaite entreprendre.
• Un humain (ou une règle de validation automatique) approuve ou rejette.
• Seulement alors, l'action est exécutée.

Ce pattern « human-in-the-loop » est particulièrement critique pour les opérations irréversibles : suppression, migration destructive, modification de configuration réseau. Des outils comme Terraform avec ses plan avant apply en sont un exemple éprouvé — le même principe doit s'appliquer à vos agents IA.

Pour les environnements de développement et de test, utilisez des sandboxes isolées : une instance Railway (ou Docker Compose en local) dédiée aux agents, sans aucune connexion possible vers la production.

4. Sauvegardes hors-bande et immutables

L'incident PocketOS a été aggravé par le fait que les sauvegardes volume étaient accessibles via la même API Railway — et donc supprimables avec le même token. C'est une erreur d'architecture de résilience.

Vos sauvegardes critiques doivent être :

• Hors-bande : stockées dans un système distinct, avec des credentials distincts, inaccessibles depuis l'environnement applicatif principal.
• Immutables : configurées avec une politique de rétention qui empêche la suppression avant expiration (S3 Object Lock, Backblaze B2 immutable buckets, etc.).
• Testées régulièrement : un backup non testé n'est pas un backup.

Ce que cela change pour vos projets Symfony/PHP

Si vous utilisez des agents IA (Cursor, GitHub Copilot Workspace, ou tout autre outil) dans votre workflow de développement sur des projets MulerTech-style, voici une checklist rapide à appliquer dès aujourd'hui :

• ✅ Auditez les tokens présents dans vos .env et secrets CI/CD : lesquels ont des droits trop larges ?
• ✅ Activez la deletion protection sur vos bases de données et volumes en production.
• ✅ Mettez en place des sauvegardes sur un bucket S3/Object Storage distinct, avec un accès en écriture seule depuis l'application (append-only).
• ✅ Si vous utilisez un agent dans votre pipeline, définissez explicitement ce qu'il a le droit de faire — et surtout ce qu'il ne peut pas faire.
• ✅ Documentez un runbook de récupération d'urgence et testez-le. Pas quand l'incident arrive.

Conclusion

Jeremy Crane a eu de la chance : les données ont pu être récupérées. Mais cet incident est un rappel utile que les agents IA sont des multiplicateurs de force — dans les deux sens. Ils exécutent vite, précisément, sans fatigue et sans hésitation. C'est leur force. C'est aussi leur danger quand les garde-fous d'accès ne sont pas en place.

Le principe de moindre privilège, les tokens éphémères, les sauvegardes hors-bande et les mécanismes human-in-the-loop ne sont pas des contraintes bureaucratiques : ce sont les fondations qui permettent d'utiliser ces outils puissants sans transformer un vendredi soir ordinaire en week-end de disaster recovery.