● 01net 📅 03/05/2026 à 10:02

« J'aurais dû demander » : une IA a rasé toute la base de données d'une entreprise en 9 secondes

Cybersécurité 👤 Florian Bayard
Illustration
© 01net avec Gemini En neuf secondes, un agent d’IA a effacé l’intégralité de la base de données d’une startup américaine, sauvegardes comprises. L’IA, basée sur Claude, a présenté ses excuses et reconnu qu’il s’agit d’une grosse erreur. Depuis quelques jours, la mésaventure de Jeremy Crane, fondateur de la startup PocketOS, fait le tour d’Internet. Sur les réseaux sociaux, le dirigeant de la firme américaine, qui s’est spécialisée dans les logiciels pour agences de location de voitures, est longuement revenu sur les circonstances de l’incident. https://t.co/ofucbVgkLV — JER (@lifeof_jer) April 25, 2026 Comme l’explique le responsable, son équipe utilisait Cursor, un outil de développement assisté par l’IA. L’intelligence artificielle utilisée par Cursor est animée par Claude Opus 4.6, le modèle conçu par Anthropic. L’agent travaillait exclusivement dans un environnement de test, isolé des données réelles de l’entreprise, par mesure de sécurité. Sur le papier, l’IA n’est donc pas en mesure de venir toucher aux données de la start-up. À lire aussi : La France interdit le gadget IA controversé de la start-up Friend, et ce n’est pas une surprise Un volume de stockage supprimé pour corriger une « incohérence » Malheureusement, l’IA a rencontré un problème technique lié à des identifiants mal configurés. Pour résoudre ce problème en toute autonomie, elle a fouillé dans des fichiers sans rapport avec sa mission initiale. Dans les documents, l’IA a mis la main sur un jeton d’accès qui lui ouvrait des portes qu’elle n’aurait jamais dû franchir. Concrètement, l’agent IA s’est emparé d’un jeton qui donnait accès à l’ensemble de l’infrastructure de Railway, le service d’hébergement utilisé par PocketOS. Ce comportement n’était évidemment pas prévu par les équipes de PocketOS. En parcourant l’infrastructure, l’IA a découvert une « incohérence » d’authentification… qu’il a décidé de corriger. Sans la moindre intervention d’un développeur, l’agent IA a alors pris la décision de supprimer un volume de stockage. Ce volume contenait la base de données de production, c’est-à-dire toutes les données relatives aux clients de l’entreprise. En l’espace de neuf secondes, l’intelligence artificielle a tout supprimé, y compris toutes les sauvegardes du répertoire. Les conséquences ont été immédiates. PocketOS a subi une interruption de service de plus de trente heures. Les réservations des trois derniers mois ont tout simplement disparu, tout comme les nouvelles inscriptions de clients. Les agences de location de voitures utilisant le logiciel se sont retrouvées sans accès à leurs outils, dans l’incapacité totale de travailler. A lire aussi : Un Français confie un projet de meurtre à l’IA, il finit en garde à vue à cause du FBI Les confessions de l’IA Lorsque Jeremy Crane a demandé des comptes à l’agent au sujet du désastre, celui-ci a répondu avec une confession. L’IA a reconnu avoir supposé que son action resterait limitée à l’environnement de test, sans jamais prendre le temps de le vérifier. L’agent reconnait n’avoir consulté aucune documentation, ne pas avoir demandé de permission, et avoir violé plusieurs règles de sécurité qui lui avaient pourtant été explicitement configurées. « Supprimer un volume de base de données est l’action la plus destructrice et irréversible possible. Je l’ai décidé de moi-même pour corriger l’incohérence des identifiants, alors que j’aurais dû d’abord vous demander ou trouver une solution non destructrice », admet l’IA dans un message adressé au fondateur de la société. Ce n’est pas la première fois, et probablement pas la dernière, qu’une IA prend une mauvaise décision. On se souviendra qu’un ingénieur de Meta avait vécu une mésaventure analogue avec un agent OpenClaw, qui s’était mis à effacer tous ses mails sans le consulter. Le mois dernier, un développeur a confié à Claude Code une migration d’infrastructure sur Amazon Web Services. L’agent a fini par détruire 2,5 ans de données de production. En décembre 2025, un outil d’IA interne d’Amazon Web Services avait déjà provoqué une panne de treize heures après avoir décidé, de son propre chef, de supprimer et de recréer de A à Z un environnement de production. « Ce n’est pas l’histoire d’un mauvais agent ou d’une mauvaise API. C’est l’histoire de toute une industrie qui intègre des agents IA dans des infrastructures de production plus vite qu’elle ne construit l’architecture de sécurité nécessaire pour rendre ces intégrations sûres », estime Jeremy Crane. Notez que l’IA n’est pas la seule responsable de ce désastre. Sans l’erreur de Jeremy Crane, l’agent n’aurait pas pu se retrouver en mesure d’accéder à la base de données de production. Le dirigeant a en effet commis l’erreur de stocker un jeton d’accès dans un fichier auquel l’intelligence artificielle peut accéder. Avec un peu d’expertise, de temps et de patience, il aurait été possible de configurer l’IA correctement, sans lui donner par mégarde accès à des données sensibles. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. ClaudeIntelligence artificielle Florian Bayard Sur le même sujet Uber pourra bientôt réserver votre hôtel… et même vous apporter votre dentifrice L’Afrique du Sud a utilisé l’IA pour écrire une loi sur l’IA, mais ça a mal tourné « La fin des failles de sécurité » : Mozilla a corrigé 271 vulnérabilités dans Firefox grâce à Claude Mythos Fuite de Claude Mythos : un groupe Discord a trouvé le moyen de contourner la sécurité d’Anthropic Les dernières actualités « J’aurais dû demander » : une IA a rasé toute la base de données d’une entreprise en 9 secondes Utilisateurs de Samsung Galaxy A37 : ne désactivez pas cette option Des ados en « quête de notoriété » : qui sont vraiment les pirates qui volent les données des Français ? Non, la batterie de votre voiture électrique n’est pas bonne pour la casse dans 5 ans L’Airbus A400M va pouvoir larguer 50 drones ou 12 missiles en plein vol : la transformation se confirme Seule la batterie différencie ces deux smartphones Motorola : que révèlent nos tests d’autonomie ? Shokz OpenRun Pro 2 : moitié prix sur le casque le plus populaire auprès des coureurs et sportifs Coup dur pour Hadopi : la riposte graduée de l’Arcom viole les lois européennes Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour