C’est le genre d’histoire qui semble irréelle… et pourtant.
Une des plus grandes entreprises de cybersécurité au monde, valorisée à plusieurs milliards de dollars, aurait accidentellement exposé une clé privée SSL dans l’installateur de son propre produit basé sur l’IA.
Un incident potentiellement massif, qui pourrait concerner plusieurs millions d’utilisateurs.
Décryptage.
Un poids lourd de la cybersécurité chinoise
L’entreprise Qihoo 360 domine largement le marché chinois.
Pour situer son influence, on pourrait la comparer à un mélange de Norton, McAfee et Microsoft Defender.
Avec des centaines de millions d’utilisateurs et une présence massive sur les postes grand public, toute faille de sécurité chez eux prend immédiatement une dimension systémique.
360Claw : un agent IA aux accès sensibles
Le produit en question, 360Claw (aussi appelé Security Claw), repose sur un agent IA inspiré du projet OpenClaw.
Son fonctionnement est simple… et inquiétant :
-
Accès aux fichiers locaux
-
Accès au terminal
-
Interaction avec le navigateur
-
Potentiel accès aux mots de passe et clés API
En clair, c’est comme installer un assistant omnipotent directement au cœur de votre système.
👉 Lors du lancement, le fondateur avait pourtant assuré que le produit ne compromettrait jamais les données sensibles des utilisateurs.
L’erreur critique : une clé privée SSL exposée
C’est ici que l’affaire bascule.
Dans le package d’installation (un simple fichier ZIP téléchargeable), des chercheurs ont découvert :
👉 Une clé privée SSL valide pour le domaine *.myclaw.360.cn
👉 Active depuis mars 2026, avec une validité courant jusqu’en 2027
👉 Valable pour tous les sous-domaines associés
Pourquoi c’est extrêmement grave ?
Une clé privée SSL, c’est littéralement le cœur du chiffrement HTTPS.
Elle permet de garantir que :
-
vous communiquez avec le bon serveur
-
vos données ne sont pas interceptées
Si cette clé est compromise, tout s’effondre.
Les scénarios d’attaque possibles
Avec cette clé, un attaquant pourrait :
-
🔍 Intercepter le trafic (attaque Man-in-the-Middle parfaite)
-
🎭 Usurper l’identité du serveur officiel
-
🔑 Créer de faux portails de connexion indétectables
-
🤖 Prendre le contrôle de l’agent IA à distance
Et le plus inquiétant :
👉 Tout cela peut se produire sans alerter l’utilisateur.
Le vrai danger : l’IA + accès système
Contrairement à une application classique, un agent IA comme 360Claw :
-
agit de manière autonome
-
peut exécuter des commandes
-
accède à des données critiques
👉 Une compromission ne signifie pas seulement une fuite de données…
👉 mais potentiellement un contrôle total de la machine.
Un passif déjà controversé
Ce n’est pas la première fois que Qihoo 360 est au cœur d’une polémique.
En 2016, Mozilla avait accusé l’écosystème lié à WoSign / StartCom (associé à Qihoo) d’avoir émis des certificats problématiques, remettant en cause la confiance dans leur chaîne de certification.
👉 Résultat : une perte de confiance majeure dans leur infrastructure de sécurité.
Une faute élémentaire… aux conséquences potentiellement massives
Exposer une clé privée dans un installateur est une erreur fondamentale en cybersécurité.
Mais dans ce cas précis, les implications sont encore plus graves :
-
un produit IA
-
un accès système étendu
-
une base d’utilisateurs massive
👉 Tous les ingrédients d’un incident majeur.
Ce qu’il faut retenir
-
Même les leaders de la cybersécurité peuvent commettre des erreurs critiques
-
L’intégration d’IA avec accès système amplifie drastiquement les risques
-
La gestion des clés cryptographiques reste un point de défaillance majeur
À nuancer
À ce stade, certains éléments (notamment le nombre exact d’utilisateurs impactés ou l’exploitation active de la faille) restent à confirmer publiquement.
Mais une chose est sûre :
👉 Ce type d’erreur ne devrait jamais arriver.
Par Aghilas AZZOUG