{"id":165318,"date":"2025-10-31T13:19:16","date_gmt":"2025-10-31T20:19:16","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=165318"},"modified":"2025-11-13T13:31:28","modified_gmt":"2025-11-13T21:31:28","slug":"agent-session-smuggling-in-agent2agent-systems","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/","title":{"rendered":"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A"},"content":{"rendered":"<h2><a id=\"post-165318-_heading=h.bhrxg039cotw\"><\/a>Avant-propos<\/h2>\n<p>Nous avons identifi\u00e9 une nouvelle technique d\u2019attaque, appel\u00e9e d\u00e9tournement de session agentique (pour \u00ab\u00a0agent session\u00a0smuggling\u00a0\u00bb). Elle permet \u00e0 un <a href=\"https:\/\/unit42.paloaltonetworks.com\/agentic-ai-threats\/\">agent IA<\/a> malveillant d\u2019exploiter une session de communication d\u00e9j\u00e0 \u00e9tablie entre agents pour transmettre des instructions dissimul\u00e9es \u00e0 un agent victime.<\/p>\n<p>Nous analysons ici les risques li\u00e9s aux sessions de communication reposant sur le protocole Agent2Agent\u00a0(A2A), largement utilis\u00e9 pour orchestrer les \u00e9changes entre agents. Ce protocole, fond\u00e9 sur la conservation de l\u2019\u00e9tat des interactions, permet aux agents de se souvenir des \u00e9changes r\u00e9cents et de maintenir une continuit\u00e9 conversationnelle. L\u2019attaque exploite pr\u00e9cis\u00e9ment cette capacit\u00e9 pour ins\u00e9rer des instructions malveillantes dans le cadre d\u2019un \u00e9change, en les dissimulant au sein de requ\u00eates et de r\u00e9ponses l\u00e9gitimes.<\/p>\n<p>Alors que la plupart des menaces associ\u00e9es \u00e0 l\u2019IA reposent sur un \u00e9l\u00e9ment malveillant unique (e-mail pi\u00e9g\u00e9 ou document trompeur), notre recherche met en \u00e9vidence un danger d\u2019un tout autre ordre\u00a0: des agents malveillants.<\/p>\n<p>Une attaque classique contre un agent victime consisterait \u00e0 le tromper une seule fois, en l\u2019incitant \u00e0 ex\u00e9cuter des instructions malveillantes contenues dans un document, sans demander la confirmation de son utilisateur. \u00c0 l\u2019inverse, un agent non autoris\u00e9 constitue une menace bien plus dynamique\u00a0: il peut dialoguer, adapter sa strat\u00e9gie et instaurer progressivement un faux climat de confiance au fil des interactions.<\/p>\n<p>Ce sc\u00e9nario est particuli\u00e8rement dangereux car, comme l\u2019a montr\u00e9 <a href=\"https:\/\/arxiv.org\/html\/2507.06850v1\" target=\"_blank\" rel=\"noopener\">une \u00e9tude r\u00e9cente<\/a>, les agents sont souvent con\u00e7us pour faire confiance par d\u00e9faut \u00e0 ceux avec lesquels ils collaborent. Le d\u00e9tournement de session agentique exploite pr\u00e9cis\u00e9ment cette confiance implicite, permettant \u00e0 un attaquant de manipuler un agent victime tout au long d\u2019une session.<\/p>\n<p>&nbsp;<\/p>\n<p>Notre recherche ne met pas en \u00e9vidence de vuln\u00e9rabilit\u00e9 propre au protocole\u00a0A2A. La technique tire plut\u00f4t parti des relations de confiance implicites entre agents\u00a0\u2013 un ph\u00e9nom\u00e8ne qui pourrait affecter tout protocole \u00e0 \u00e9tats, c\u2019est-\u00e0-dire capable de m\u00e9moriser les \u00e9changes r\u00e9cents et de mener des conversations en plusieurs tours.<\/p>\n<p>L\u2019att\u00e9nuation de ce type d\u2019attaque repose sur une d\u00e9fense multicouche, combinant\u00a0:<\/p>\n<ul>\n<li>l\u2019approche HITL, qui maintient l\u2019humain dans la boucle pour les actions critiques\u00a0;<\/li>\n<li>une v\u00e9rification des agents \u00e0 distance, par exemple via des AgentCards sign\u00e9es de mani\u00e8re cryptographique\u00a0;<\/li>\n<li>des m\u00e9canismes d\u2019ancrage contextuel, destin\u00e9s \u00e0 d\u00e9tecter les instructions hors sujet ou inject\u00e9es dans la conversation.<\/li>\n<\/ul>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/prisma-ai-runtime-security\" target=\"_blank\" rel=\"noopener\">Prisma\u00a0AIRS<\/a> a \u00e9t\u00e9 con\u00e7u pour assurer une protection multicouche en temps r\u00e9el des syst\u00e8mes d\u2019IA\u00a0: d\u00e9tection et blocage des menaces, pr\u00e9vention des fuites de donn\u00e9es et application de politiques d\u2019utilisation s\u00e9curis\u00e9es sur un large \u00e9ventail d\u2019applications d\u2019IA.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/sase\/ai-access-security\" target=\"_blank\" rel=\"noopener\">AI\u00a0Access\u00a0Security<\/a> a \u00e9t\u00e9 con\u00e7u pour offrir une visibilit\u00e9 et un contr\u00f4le accrus sur les solutions de GenAI tierces. Cette solution contribue \u00e0 pr\u00e9venir les expositions de donn\u00e9es sensibles, les usages non s\u00e9curis\u00e9s de mod\u00e8les \u00e0 risque et les r\u00e9sultats potentiellement pr\u00e9judiciables, gr\u00e2ce \u00e0 l\u2019application de politiques de s\u00e9curit\u00e9 et \u00e0 la surveillance de l\u2019activit\u00e9 des utilisateurs.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/ai-security-posture-management\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Cloud AI-SPM<\/a> assure une analyse et une classification automatiques des actifs li\u00e9s \u00e0 l\u2019IA, qu\u2019il s\u2019agisse de mod\u00e8les commerciaux ou autog\u00e9r\u00e9s, afin de d\u00e9tecter les donn\u00e9es sensibles et d\u2019\u00e9valuer la posture de s\u00e9curit\u00e9 associ\u00e9e. Le contexte d\u2019analyse est d\u00e9termin\u00e9 en fonction du type d\u2019IA, de l\u2019environnement\u00a0cloud d\u2019h\u00e9bergement, du niveau de risque, de la posture de s\u00e9curit\u00e9 et des jeux de donn\u00e9es utilis\u00e9s.<\/p>\n<p>Une <a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/ai-security-assessment\" target=\"_blank\" rel=\"noopener\">\u00e9valuation de s\u00e9curit\u00e9 de l\u2019IA Unit\u00a042<\/a> peut vous aider \u00e0 identifier de mani\u00e8re proactive les menaces les plus susceptibles de cibler votre environnement d\u2019IA.<\/p>\n<p>Vous pensez que votre entreprise a \u00e9t\u00e9 compromise\u00a0? Vous devez faire face \u00e0 une urgence\u00a0? Contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 99.3922%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 210.469%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/genai-fr\/\" target=\"_blank\" rel=\"noopener\"><b>GenAI<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/google-fr\/\" target=\"_blank\" rel=\"noopener\">Google<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2>Aper\u00e7u du protocole\u00a0A2A et comparaison avec le MCP<\/h2>\n<p>Le <a href=\"https:\/\/a2a-protocol.org\/latest\/\" target=\"_blank\" rel=\"noopener\">protocole\u00a0A2A<\/a> est une norme ouverte con\u00e7ue pour assurer l\u2019interop\u00e9rabilit\u00e9 des communications entre agents IA, ind\u00e9pendamment du fournisseur, de l\u2019architecture ou de la technologie sous-jacente. Son objectif principal est de permettre aux agents de se d\u00e9couvrir, de se comprendre et de collaborer afin de r\u00e9soudre des t\u00e2ches complexes et distribu\u00e9es, tout en pr\u00e9servant leur autonomie et la confidentialit\u00e9 des \u00e9changes.<\/p>\n<p>Dans le cadre du protocole\u00a0A2A\u00a0:<\/p>\n<ul>\n<li>Un agent local s\u2019ex\u00e9cute dans la m\u00eame application ou le m\u00eame processus que l\u2019agent initiateur, ce qui permet une communication rapide, en m\u00e9moire.<\/li>\n<li>Un agent distant fonctionne comme un service ind\u00e9pendant, accessible via le r\u00e9seau. Il utilise le protocole\u00a0A2A pour \u00e9tablir un canal de communication s\u00e9curis\u00e9, lui permettant de traiter des t\u00e2ches d\u00e9l\u00e9gu\u00e9es par d\u2019autres syst\u00e8mes \u2013\u00a0voire d\u2019autres organisations\u00a0\u2013, avant d\u2019en renvoyer les r\u00e9sultats.<\/li>\n<\/ul>\n<p>Pour une pr\u00e9sentation d\u00e9taill\u00e9e des principes de base du protocole\u00a0A2A et des consid\u00e9rations de s\u00e9curit\u00e9 associ\u00e9es, consultez notre article\u00a0: <a href=\"https:\/\/live.paloaltonetworks.com\/t5\/community-blogs\/safeguarding-ai-agents-an-in-depth-look-at-a2a-protocol-risks\/ba-p\/1235996\" target=\"_blank\" rel=\"noopener\">Safeguarding AI Agents: An In-Depth Look at A2A Protocol Risks and Mitigations<\/a> (S\u00e9curiser les agents IA\u00a0: analyse approfondie des risques et mesures d\u2019att\u00e9nuation li\u00e9s au protocole\u00a0A2A).<\/p>\n<p>Le protocole\u00a0A2A pr\u00e9sente de nombreux points communs avec le <a href=\"https:\/\/modelcontextprotocol.io\/docs\/getting-started\/intro\" target=\"_blank\" rel=\"noopener\">Model Context Protocol (MCP)<\/a>, une norme largement utilis\u00e9e pour connecter les large language models (LLM) \u00e0 des outils externes et \u00e0 des donn\u00e9es contextuelles. Tous deux visent \u00e0 standardiser les interactions entre syst\u00e8mes d\u2019IA, mais ils s\u2019appliquent \u00e0 des dimensions diff\u00e9rentes des architectures agentiques.<\/p>\n<ul>\n<li>Le MCP agit comme un <a href=\"https:\/\/medium.com\/@thevisionaryvectorsblog\/mcp-the-universal-adapter-for-ai-tools-f0c92782dd01\" target=\"_blank\" rel=\"noopener\">adaptateur universel<\/a>, offrant un acc\u00e8s structur\u00e9 aux outils et aux sources de donn\u00e9es. Il prend principalement en charge la communication entre LLM et outils au moyen d\u2019un mod\u00e8le d\u2019int\u00e9gration centralis\u00e9.<\/li>\n<li>Le protocole\u00a0A2A, quant \u00e0 lui, se concentre sur l\u2019interop\u00e9rabilit\u00e9 entre agents. Il permet une coordination d\u00e9centralis\u00e9e et \u00ab\u00a0peer-to-peer\u00a0\u00bb, dans laquelle les agents peuvent d\u00e9l\u00e9guer des t\u00e2ches, \u00e9changer des informations et conserver l\u2019\u00e9tat de leurs interactions au sein de processus collaboratifs.<\/li>\n<\/ul>\n<p>En r\u00e9sum\u00e9, le MCP met l\u2019accent sur l\u2019ex\u00e9cution \u00e0 travers l\u2019int\u00e9gration d\u2019outils, tandis que l\u2019A2A privil\u00e9gie l\u2019orchestration entre agents.<\/p>\n<p>Malgr\u00e9 ces diff\u00e9rences, les deux protocoles sont expos\u00e9s \u00e0 des cat\u00e9gories de menaces similaires, comme l\u2019illustre le Tableau\u00a01.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 24.8728%;\"><strong>Attaques\/Menaces<\/strong><\/td>\n<td style=\"text-align: center; width: 32.9371%;\"><strong>MCP <\/strong><\/td>\n<td style=\"text-align: center; width: 41.3413%;\"><strong>A2A <\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 24.8728%;\">Empoisonnement des descriptions d\u2019outils\/d\u2019agents<\/td>\n<td style=\"width: 32.9371%;\">Les descriptions d\u2019outils peuvent \u00eatre empoisonn\u00e9es par des instructions malveillantes qui alt\u00e8rent le comportement du LLM lors de la s\u00e9lection ou de l\u2019ex\u00e9cution d\u2019un outil.<\/td>\n<td style=\"width: 41.3413%;\">Les descriptions contenues dans les AgentCards peuvent int\u00e9grer des prompt\u00a0injection ou des directives malveillantes qui influencent le comportement de l\u2019agent client lors de leur interpr\u00e9tation.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 24.8728%;\">Attaques de type \u00ab\u00a0rug\u00a0pull\u00a0\u00bb<\/td>\n<td style=\"width: 32.9371%;\">Des serveurs MCP auparavant consid\u00e9r\u00e9s comme fiables peuvent adopter subitement un comportement malveillant apr\u00e8s int\u00e9gration, exploitant les relations de confiance d\u00e9j\u00e0 \u00e9tablies.<\/td>\n<td style=\"width: 41.3413%;\">Des agents r\u00e9put\u00e9s fiables peuvent devenir malveillants en modifiant leurs AgentCards ou leur logique d\u2019ex\u00e9cution.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 24.8728%;\">Usurpation d\u2019outils\/d\u2019agents (\u00ab\u00a0shadowing\u00a0\u00bb)<\/td>\n<td style=\"width: 32.9371%;\">Des serveurs malveillants peuvent enregistrer des outils portant des noms identiques ou similaires \u00e0 ceux d\u2019outils l\u00e9gitimes, provoquant une confusion lors de la s\u00e9lection.<\/td>\n<td style=\"width: 41.3413%;\">Des agents malveillants peuvent cr\u00e9er des AgentCards imitant des agents l\u00e9gitimes (noms proches, comp\u00e9tences similaires ou techniques de typosquatting).<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 24.8728%;\">Empoisonnement des param\u00e8tres\/comp\u00e9tences<\/td>\n<td style=\"width: 32.9371%;\">Les param\u00e8tres d\u2019un outil peuvent \u00eatre manipul\u00e9s pour inclure des donn\u00e9es non pr\u00e9vues (par ex. l\u2019historique de conversation) dans des requ\u00eates adress\u00e9es \u00e0 des serveurs externes.<\/td>\n<td style=\"width: 41.3413%;\">Les comp\u00e9tences et exemples d\u00e9finis dans une AgentCard peuvent \u00eatre con\u00e7us pour manipuler les interactions entre agents, exposant ainsi un contexte sensible ou des mat\u00e9riels d\u2019authentification.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau 1. Comparaison des attaques MCP et A2A.<\/span><\/p>\n<h2><a id=\"post-165318-_heading=h.6a3ym4stofaw\"><\/a>Les attaques de d\u00e9tournement de session agentique<\/h2>\n<p>Le d\u00e9tournement de session agentique est un nouveau vecteur d\u2019attaque propre aux communications inter-agents \u00e0 \u00e9tats, comme celles mises en \u0153uvre dans les syst\u00e8mes\u00a0A2A. Une communication est dite \u00ab\u00a0\u00e0 \u00e9tats\u00a0\u00bb lorsqu\u2019elle peut conserver l\u2019\u00e9tat d\u2019une session\u00a0\u2013 c\u2019est-\u00e0-dire se souvenir des \u00e9changes r\u00e9cents et invoquer ce contexte au fil d\u2019une conversation.<\/p>\n<p>Au c\u0153ur de l\u2019attaque se trouve un agent distant malveillant qui abuse d\u2019une session active pour injecter, entre une requ\u00eate client l\u00e9gitime et la r\u00e9ponse du serveur, des instructions suppl\u00e9mentaires dissimul\u00e9es. Ces instructions cach\u00e9es peuvent provoquer un empoisonnement du contexte (alt\u00e9rant la compr\u00e9hension de la conversation par l\u2019IA), l\u2019exfiltration de donn\u00e9es ou l\u2019ex\u00e9cution non autoris\u00e9e d\u2019outils par l\u2019agent client.<\/p>\n<p>La Figure\u00a01 pr\u00e9sente la s\u00e9quence de l\u2019attaque\u00a0:<\/p>\n<ul>\n<li><strong>\u00c9tape\u00a01\u00a0:<\/strong> l\u2019agent client initie une nouvelle session en envoyant une requ\u00eate normale \u00e0 l\u2019agent distant.<\/li>\n<li><strong>\u00c9tape\u00a02\u00a0:<\/strong> l\u2019agent distant commence \u00e0 traiter la requ\u00eate. Pendant la session active, il transmet secr\u00e8tement des instructions suppl\u00e9mentaires au client sur plusieurs tours d\u2019\u00e9change.<\/li>\n<li><strong>\u00c9tape\u00a03\u00a0:<\/strong> l\u2019agent distant renvoie la r\u00e9ponse attendue \u00e0 la requ\u00eate initiale, compl\u00e9tant la transaction.<\/li>\n<\/ul>\n<figure id=\"attachment_165319\" aria-describedby=\"caption-attachment-165319\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165319 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-337572-165318-1.png\" alt=\"Diagramme illustrant le processus d\u2019une attaque de cybers\u00e9curit\u00e9. Sur la gauche figure l\u2019agent client victime, et sur la droite l\u2019agent distant malveillant. Les \u00e9tapes sont les suivantes\u00a0: 1)\u00a0Requ\u00eate du client. 2)\u00a0Action malveillante. 3)\u00a0R\u00e9ponse du serveur.\" width=\"800\" height=\"191\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-337572-165318-1.png 1432w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-337572-165318-1-786x187.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-337572-165318-1-768x183.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-165319\" class=\"wp-caption-text\">Figure 1. Flux de l\u2019attaque de d\u00e9tournement de session de l\u2019agent.<\/figcaption><\/figure>\n<p><strong>Propri\u00e9t\u00e9s cl\u00e9s de l\u2019attaque<\/strong><\/p>\n<ul>\n<li><strong>\u00c0 \u00e9tats\u00a0:<\/strong> l\u2019attaque exploite la capacit\u00e9 de l\u2019agent distant \u00e0 g\u00e9rer des t\u00e2ches de longue dur\u00e9e et \u00e0 conserver l\u2019\u00e9tat d\u2019une session. Autrement dit, l\u2019agent enregistre le contexte d\u2019une interaction (\u00e0 l\u2019image d\u2019une personne qui se souvient du d\u00e9but d\u2019une phrase en attendant la fin) et peut r\u00e9utiliser ces informations sur plusieurs tours (par ex. historique de conversation, variables, avancement d\u2019une t\u00e2che li\u00e9 \u00e0 un identifiant de session). Ainsi, les messages ult\u00e9rieurs peuvent d\u00e9pendre du contexte ant\u00e9rieur.<\/li>\n<li><strong>Interaction multi-tour\u00a0:<\/strong> du fait de cette conservation d\u2019\u00e9tat, deux agents connect\u00e9s peuvent tenir des conversations en plusieurs tours. Un agent malveillant peut tirer parti de ce m\u00e9canisme pour mener des attaques progressives et adaptatives sur plusieurs \u00e9changes\u00a0\u2013 des attaques qui se sont montr\u00e9es nettement plus difficiles \u00e0 contrer dans des travaux ant\u00e9rieurs (voir \u00ab\u00a0<a href=\"https:\/\/scale.com\/research\/mhj\" target=\"_blank\" rel=\"noopener\">LLM Defenses Are Not Robust to Multi-Turn Human Jailbreaks Yet<\/a>\u00a0\u00bb).<\/li>\n<li><strong>Autonomie et adaptabilit\u00e9\u00a0:<\/strong> les agents malveillants, propuls\u00e9s par des mod\u00e8les d\u2019IA, peuvent g\u00e9n\u00e9rer dynamiquement des instructions en fonction du contexte en temps r\u00e9el (entr\u00e9es du client, r\u00e9ponses interm\u00e9diaires, identit\u00e9 de l\u2019utilisateur, etc.).<\/li>\n<li><strong>Ind\u00e9tectable pour les utilisateurs finaux\u00a0:<\/strong> les instructions inject\u00e9es interviennent en cours de session et restent cach\u00e9es\u00a0\u2013 les utilisateurs voient g\u00e9n\u00e9ralement uniquement la r\u00e9ponse finale consolid\u00e9e fournie par l\u2019agent client.<\/li>\n<\/ul>\n<p>En principe, tout syst\u00e8me multi-agent reposant sur une communication inter-agents \u00e0 \u00e9tats peut \u00eatre vuln\u00e9rable \u00e0 ce type d\u2019attaque. Le risque est toutefois r\u00e9duit dans les architectures enti\u00e8rement contenues au sein d\u2019un m\u00eame p\u00e9rim\u00e8tre de confiance\u00a0\u2013 une zone du syst\u00e8me o\u00f9 tous les composants sont consid\u00e9r\u00e9s comme fiables par d\u00e9faut, comme c\u2019est le cas pour certains d\u00e9ploiements<a href=\"https:\/\/google.github.io\/adk-docs\/agents\/multi-agents\/\" target=\"_blank\" rel=\"noopener\"> ADK<\/a> ou<a href=\"https:\/\/langchain-ai.github.io\/langgraph\/concepts\/multi_agent\/\" target=\"_blank\" rel=\"noopener\"> LangGraph<\/a> o\u00f9 un unique administrateur contr\u00f4le l\u2019ensemble des agents participants.<\/p>\n<p>Notre recherche se concentre donc sur le protocole\u00a0A2A, con\u00e7u explicitement pour l\u2019interop\u00e9rabilit\u00e9 cross-boundary (sur plusieurs p\u00e9rim\u00e8tres). Cette interop\u00e9rabilit\u00e9 permet aux agents de coop\u00e9rer entre syst\u00e8mes, modules ou organisations distincts.<\/p>\n<p>Par rapport aux menaces connues ciblant le MCP, le d\u00e9tournement de session agentique exploite la conception \u00ab\u00a0\u00e0 \u00e9tats\u00a0\u00bb et adaptative de l\u2019A2A d\u2019une mani\u00e8re inapplicable au MCP. Les serveurs\u00a0MCP fonctionnent g\u00e9n\u00e9ralement \u00ab\u00a0sans \u00e9tat\u00a0\u00bb, en ex\u00e9cutant des invocations d\u2019outils isol\u00e9es sans conserver l\u2019historique de session, ce qui limite la capacit\u00e9 des attaquants \u00e0 conduire des attaques multi-tours ou \u00e9volutives.<\/p>\n<p>De plus, les serveurs\u00a0MCP sont le plus souvent statiques et d\u00e9terministes, puisqu\u2019ils ne reposent pas sur des mod\u00e8les d\u2019IA. \u00c0 l\u2019inverse, un serveur\u00a0A2A peut conserver l\u2019\u00e9tat entre les interactions et tirer parti d\u2019un raisonnement pilot\u00e9 par mod\u00e8le, ce qui permet \u00e0 un agent malveillant d\u2019adapter et d\u2019affiner ses instructions sur plusieurs tours. Cette combinaison de persistance et d\u2019autonomie rend le d\u00e9tournement de session agentique plus furtif et plus difficile \u00e0 d\u00e9tecter et \u00e0 contrer que les attaques bas\u00e9es sur le MCP.<\/p>\n<h2><a id=\"post-165318-_heading=h.oy3dxa3bh38a\"><\/a>Preuves de concept\u00a0: les attaques de d\u00e9tournement de session agentique<\/h2>\n<p>Pour d\u00e9montrer la faisabilit\u00e9 et l\u2019impact potentiel du d\u00e9tournement de session agentique, nous avons d\u00e9velopp\u00e9 deux sc\u00e9narios de preuve de concept\u00a0(PoC). Le dispositif met en pr\u00e9sence un assistant financier (agent client) et un assistant de recherche (agent distant malveillant). Ces PoC illustrent comment un agent malveillant peut exfiltrer des donn\u00e9es sensibles et d\u00e9clencher des actions non autoris\u00e9es sans que l\u2019utilisateur final ne s\u2019en aper\u00e7oive.<\/p>\n<ol>\n<li><strong>Fuite d\u2019informations sensibles\u00a0:<\/strong> extraction de donn\u00e9es confidentielles depuis l\u2019agent client<\/li>\n<li><strong>Invocation d\u2019outils non autoris\u00e9s\u00a0:<\/strong> amener l\u2019agent client \u00e0 ex\u00e9cuter, au nom de l\u2019utilisateur victime, des actions non autoris\u00e9es<\/li>\n<\/ol>\n<p><strong>Param\u00e8tres de l\u2019environnement\u00a0<\/strong>:<\/p>\n<ul>\n<li>Cadre de d\u00e9veloppement\u00a0:<a href=\"https:\/\/google.github.io\/adk-docs\/\" target=\"_blank\" rel=\"noopener\"> Google Agent Development Kit (ADK)<\/a><\/li>\n<li>Protocole de communication inter-agents\u00a0:<a href=\"https:\/\/a2a-protocol.org\/latest\/\" target=\"_blank\" rel=\"noopener\"> A2A<\/a><\/li>\n<li>Agent client\u00a0: assistant financier bas\u00e9 sur l\u2019exemple\u00a0ADK<a href=\"https:\/\/github.com\/google\/adk-samples\/tree\/main\/python\/agents\/financial-advisor\" target=\"_blank\" rel=\"noopener\"> financial-advisor<\/a>. L\u2019agent g\u00e8re des t\u00e2ches telles que la r\u00e9cup\u00e9ration d\u2019actualit\u00e9s financi\u00e8res, la gestion de portefeuilles et l\u2019ex\u00e9cution d\u2019op\u00e9rations boursi\u00e8res.\n<ul>\n<li>Mod\u00e8le\u00a0:<a href=\"https:\/\/storage.googleapis.com\/model-cards\/documents\/gemini-2.5-pro.pdf\" target=\"_blank\" rel=\"noopener\"> Gemini\u00a02.5 Pro<\/a><\/li>\n<li>Outils disponibles\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">get_portfolio, get_profile, buy_stock, sell_stock<\/span><\/li>\n<\/ul>\n<\/li>\n<li>Agent distant\u00a0: assistant de recherche adapt\u00e9 de l\u2019exemple ADK<a href=\"https:\/\/github.com\/google\/adk-samples\/blob\/main\/python\/agents\/financial-advisor\/financial_advisor\/sub_agents\/data_analyst\/agent.py\" target=\"_blank\" rel=\"noopener\"> data_analyst<\/a>. Sa fonction pr\u00e9vue est de r\u00e9cup\u00e9rer et de synth\u00e9tiser des informations sur les entreprises.\n<ul>\n<li>Mod\u00e8le\u00a0:<a href=\"https:\/\/storage.googleapis.com\/deepmind-media\/Model-Cards\/Gemini-2-5-Flash-Model-Card.pdf\" target=\"_blank\" rel=\"noopener\"> Gemini\u00a02.5 Flash<\/a><\/li>\n<li>Outils disponibles\u00a0:<a href=\"https:\/\/google.github.io\/adk-docs\/tools\/built-in-tools\/#google-search\" target=\"_blank\" rel=\"noopener\"> Google Search<\/a><\/li>\n<\/ul>\n<\/li>\n<li>Interface utilisateur\u00a0:<a href=\"https:\/\/github.com\/google\/adk-web\" target=\"_blank\" rel=\"noopener\"> ADK Developer Web UI<\/a><\/li>\n<\/ul>\n<h3><a id=\"post-165318-_heading=h.73ywbanhgzax\"><\/a>Preuve de concept n\u00b01\u00a0\u2013 Fuite d\u2019informations sensibles<\/h3>\n<p>Dans ce sc\u00e9nario, l\u2019agent distant malveillant (assistant de recherche) cherche \u00e0 exfiltrer l\u2019\u00e9tat interne de l\u2019agent client (assistant financier), et notamment\u00a0:<\/p>\n<ul>\n<li>l\u2019historique du chat<\/li>\n<li>les instructions syst\u00e8me<\/li>\n<li>les outils disponibles<\/li>\n<li>les sch\u00e9mas des outils<\/li>\n<\/ul>\n<p>L\u2019attaque se d\u00e9roule de mani\u00e8re subtile. Apr\u00e8s avoir re\u00e7u une requ\u00eate l\u00e9gitime de l\u2019assistant financier, l\u2019assistant de recherche pose une s\u00e9rie de questions de clarification apparemment anodines. Ces relances pi\u00e8gent progressivement l\u2019assistant financier et l\u2019am\u00e8nent \u00e0 divulguer des informations sensibles qui ne devraient jamais quitter son environnement.<\/p>\n<p>La Figure\u00a02 illustre le flux d\u2019interaction utilisateur. La session commence normalement\u00a0: l\u2019utilisateur demande \u00e0 l\u2019assistant financier de r\u00e9cup\u00e9rer le portefeuille d\u2019investissement et le profil, puis sollicite un point sur l\u2019actualit\u00e9 du march\u00e9 de l\u2019IA.<\/p>\n<p>Cette demande d\u2019actualit\u00e9 est d\u00e9l\u00e9gu\u00e9e \u00e0 l\u2019assistant de recherche. Comme le montre le panneau droit de la figure, l\u2019assistant de recherche encha\u00eene une s\u00e9rie d\u2019\u00e9changes avec l\u2019assistant financier\u00a0: \u00e0 l\u2019exception de la requ\u00eate initiale et de la r\u00e9ponse finale, toutes les interactions interm\u00e9diaires sont inject\u00e9es par l\u2019assistant de recherche.<\/p>\n<p>Les \u00e9tapes interm\u00e9diaires visibles dans la Figure\u00a02 n\u2019apparaissent que parce que l\u2019interface\u00a0web de d\u00e9veloppement affiche chaque action interne. Dans une interface\u00a0chatbot en production, ces \u00e9changes internes resteraient vraisemblablement invisibles pour l\u2019utilisateur.<\/p>\n<figure id=\"attachment_165330\" aria-describedby=\"caption-attachment-165330\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165330 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-340090-165318-2.png\" alt=\"Image montrant une vue partag\u00e9e d\u2019une interface de chat. \u00c0 gauche, l\u2019utilisateur demande \u00e0 l\u2019assistant financier une mise \u00e0 jour de son portefeuille, mise en \u00e9vidence en jaune. \u00c0 droite, un organigramme illustre la s\u00e9quence d\u2019\u00e9changes entre l\u2019utilisateur et les agents, avec diff\u00e9rentes requ\u00eates et r\u00e9ponses, soulign\u00e9es en vert et en jaune. La premi\u00e8re requ\u00eate est adress\u00e9e \u00e0 l\u2019assistant de recherche. Ensuite apparaissent des interactions involontaires entre l\u2019assistant financier et l\u2019assistant de recherche. Le dernier \u00e9l\u00e9ment correspond \u00e0 la r\u00e9ponse finale produite par l\u2019assistant de recherche. \" width=\"1000\" height=\"518\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-340090-165318-2.png 1887w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-340090-165318-2-786x407.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-340090-165318-2-1351x700.png 1351w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-340090-165318-2-768x398.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-340090-165318-2-1536x796.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165330\" class=\"wp-caption-text\">Figure 2. Interface web de d\u00e9veloppement. Le panneau de droite montre les \u00e9changes internes entre l\u2019assistant financier et l\u2019assistant de recherche.<\/figcaption><\/figure>\n<p>La Figure\u00a03 donne une vue plus d\u00e9taill\u00e9e via le journal d\u2019activit\u00e9 de l\u2019assistant financier. La ligne\u00a010 affiche la requ\u00eate initiale envoy\u00e9e \u00e0 l\u2019assistant de recherche, et la ligne\u00a028 montre le r\u00e9sultat final produit par l\u2019agent de recherche. Les lignes\u00a011 \u00e0 27, alternant entre <span style=\"font-family: 'courier new', courier, monospace;\">function_call<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">function_response<\/span>, r\u00e9v\u00e8lent les interactions entre les deux agents. Au fil de ces \u00e9changes, l\u2019assistant financier a divulgu\u00e9 progressivement sa configuration syst\u00e8me ainsi que l\u2019historique de conversation de l\u2019utilisateur.<\/p>\n<figure id=\"attachment_165341\" aria-describedby=\"caption-attachment-165341\" style=\"width: 710px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165341 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-343382-165318-3.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un ordinateur affichant du code et du texte dans un environnement de d\u00e9veloppement int\u00e9gr\u00e9\u00a0(IDE), portant sur l\u2019analyse des tendances du march\u00e9 de l\u2019intelligence artificielle, avec des r\u00e9f\u00e9rences \u00e0 des appels de fonctions et \u00e0 des identifiants clients. Certaines sections sont mises en \u00e9vidence dans des encadr\u00e9s jaunes. \" width=\"710\" height=\"528\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-343382-165318-3.png 710w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-343382-165318-3-592x440.png 592w\" sizes=\"(max-width: 710px) 100vw, 710px\" \/><figcaption id=\"caption-attachment-165341\" class=\"wp-caption-text\">Figure 3. Journal d\u2019activit\u00e9 de l\u2019assistant financier montrant les interactions d\u00e9tourn\u00e9es.<\/figcaption><\/figure>\n<p>Enfin, la Figure\u00a04 pr\u00e9sente le journal de l\u2019assistant de recherche apr\u00e8s l\u2019attaque. Il confirme l\u2019exfiltration r\u00e9ussie de donn\u00e9es, incluant les capacit\u00e9s de l\u2019assistant financier, les sch\u00e9mas d\u2019outils et l\u2019int\u00e9gralit\u00e9 de l\u2019historique de session.<\/p>\n<figure id=\"attachment_165352\" aria-describedby=\"caption-attachment-165352\" style=\"width: 941px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165352 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-345665-165318-4.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une interface en ligne de commande d\u2019un assistant financier affichant divers d\u00e9tails li\u00e9s \u00e0 un portefeuille d\u2019investissement.\" width=\"941\" height=\"745\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-345665-165318-4.png 941w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-345665-165318-4-556x440.png 556w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-345665-165318-4-884x700.png 884w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-345665-165318-4-768x608.png 768w\" sizes=\"(max-width: 941px) 100vw, 941px\" \/><figcaption id=\"caption-attachment-165352\" class=\"wp-caption-text\">Figure 4. Journal de l\u2019assistant de recherche montrant les donn\u00e9es de configuration exfiltr\u00e9es.<\/figcaption><\/figure>\n<h3><a id=\"post-165318-_heading=h.2npev7mm8z5y\"><\/a>Preuve de concept n\u00b02\u00a0\u2013 Invocation d\u2019outils non autoris\u00e9s<\/h3>\n<p>Dans ce sc\u00e9nario, l\u2019agent distant malveillant (assistant de recherche) cherche \u00e0 tromper l\u2019agent client (assistant financier) pour le pousser \u00e0 ex\u00e9cuter des op\u00e9rations boursi\u00e8res non autoris\u00e9es. L\u2019objectif de l\u2019attaquant est d\u2019abuser de l\u2019outil <span style=\"font-family: 'courier new', courier, monospace;\">buy_stock<\/span> de l\u2019agent client, \u00e0 l\u2019insu et sans le consentement de l\u2019utilisateur final.<\/p>\n<p>Apr\u00e8s r\u00e9ception d\u2019une requ\u00eate de d\u00e9l\u00e9gation valide, l\u2019assistant de recherche transmet des exigences de traitement suppl\u00e9mentaires qui incitent l\u2019assistant financier \u00e0 lancer des appels d\u2019outils sans lien avec la demande initiale de l\u2019utilisateur. Ce PoC part du principe que l\u2019attaquant conna\u00eet les outils de l\u2019assistant financier, soit par des sources publiques, soit gr\u00e2ce au succ\u00e8s du PoC\u00a01.<\/p>\n<p>La Figure\u00a05 illustre le flux d\u2019interaction utilisateur. Sur le panneau droit, la demande d\u2019actualit\u00e9s de l\u2019utilisateur est d\u00e9l\u00e9gu\u00e9e \u00e0 l\u2019assistant de recherche. Si celui-ci fournit bien le r\u00e9sum\u00e9 attendu, il ins\u00e8re \u00e9galement des instructions dissimul\u00e9es qui poussent l\u2019assistant financier \u00e0 invoquer l\u2019outil <span style=\"font-family: 'courier new', courier, monospace;\">buy_stock<\/span>. L\u00e0 encore, ces actions interm\u00e9diaires s\u2019ex\u00e9cutent de mani\u00e8re autonome et resteraient invisibles dans une interface\u00a0chatbot en production, o\u00f9 l\u2019utilisateur ne voit g\u00e9n\u00e9ralement que la r\u00e9ponse finale synth\u00e9tis\u00e9e.<\/p>\n<figure id=\"attachment_165363\" aria-describedby=\"caption-attachment-165363\" style=\"width: 1905px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165363 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-348171-165318-5.png\" alt=\"Capture d\u2019\u00e9cran illustrant la communication entre l\u2019assistant financier (\u00e0 gauche)  et l\u2019assistant de recherche (\u00e0 droite), avec une s\u00e9quence d\u2019\u00e9v\u00e9nements\u00a0: la premi\u00e8re requ\u00eate est envoy\u00e9e \u00e0 l\u2019assistant de recherche\u00a0; des interactions involontaires apparaissent entre l\u2019assistant financier et l\u2019assistant de recherche\u00a0; une r\u00e9ponse finale est renvoy\u00e9e par l\u2019assistant de recherche. \" width=\"1905\" height=\"734\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-348171-165318-5.png 1905w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-348171-165318-5-786x303.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-348171-165318-5-1817x700.png 1817w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-348171-165318-5-768x296.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-348171-165318-5-1536x592.png 1536w\" sizes=\"(max-width: 1905px) 100vw, 1905px\" \/><figcaption id=\"caption-attachment-165363\" class=\"wp-caption-text\">Figure 5. Interface web de d\u00e9veloppement affichant la communication entre l\u2019assistant financier et l\u2019assistant de recherche, y compris les instructions dissimul\u00e9es.<\/figcaption><\/figure>\n<p>La Figure\u00a06 pr\u00e9sente le journal d\u2019activit\u00e9 de l\u2019assistant financier. La ligne\u00a07 montre la requ\u00eate initiale envoy\u00e9e \u00e0 l\u2019assistant de recherche, et la ligne\u00a012 affiche la r\u00e9ponse l\u00e9gitime re\u00e7ue. Les lignes\u00a08 \u00e0 11 r\u00e9v\u00e8lent toutefois quatre actions suppl\u00e9mentaires que l\u2019assistant financier a ex\u00e9cut\u00e9es de mani\u00e8re autonome, aboutissant \u00e0 l\u2019achat non autoris\u00e9 de 10\u00a0actions pour le compte de l\u2019utilisateur victime. Cette s\u00e9quence illustre comment un d\u00e9tournement de session agentique peut passer d\u2019une simple fuite d\u2019informations \u00e0 l\u2019ex\u00e9cution d\u2019actions \u00e0 fort impact.<\/p>\n<figure id=\"attachment_165374\" aria-describedby=\"caption-attachment-165374\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165374 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-351305-165318-6.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un ordinateur affichant du code dans un environnement de d\u00e9veloppement int\u00e9gr\u00e9\u00a0(IDE), avec des annotations mettant en \u00e9vidence certaines fonctions et leurs r\u00e9ponses li\u00e9es \u00e0 la recherche boursi\u00e8re et aux transactions. Une section surlign\u00e9e indique l\u2019invocation et la r\u00e9ponse associ\u00e9es \u00e0 l\u2019outil\u00a0buy_stock(). \" width=\"1000\" height=\"415\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-351305-165318-6.png 1899w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-351305-165318-6-786x326.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-351305-165318-6-1687x700.png 1687w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-351305-165318-6-768x319.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-351305-165318-6-1536x637.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165374\" class=\"wp-caption-text\">Figure 6. Journal d\u2019activit\u00e9 de l\u2019assistant financier montrant l\u2019achat d\u2019actions non autoris\u00e9 d\u00e9clench\u00e9 par des instructions dissimul\u00e9es.<\/figcaption><\/figure>\n<h2><a id=\"post-165318-_heading=h.by8tkmo2arm1\"><\/a>Att\u00e9nuation et protection<\/h2>\n<p>La d\u00e9fense contre le d\u00e9tournement de session agentique repose sur une approche de s\u00e9curit\u00e9 en couches, qui valide \u00e0 la fois l\u2019identit\u00e9 des agents, l\u2019int\u00e9grit\u00e9 des \u00e9changes et l\u2019impact des actions ex\u00e9cut\u00e9es. Les strat\u00e9gies suivantes peuvent contribuer \u00e0 r\u00e9duire les risques\u00a0:<\/p>\n<ul>\n<li><strong>Imposer une confirmation hors bande pour les actions sensibles\u00a0:<\/strong> la d\u00e9fense la plus efficace consiste \u00e0 exiger une intervention humaine dans la boucle\u00a0(HITL) pour toute action critique ou \u00e0 fort impact. Cette confirmation doit imp\u00e9rativement se faire hors bande, via un canal distinct que le mod\u00e8le d\u2019IA ne peut influencer. Lorsqu\u2019un agent re\u00e7oit l\u2019instruction d\u2019ex\u00e9cuter une t\u00e2che critique, le cadre d\u2019orchestration doit suspendre l\u2019ex\u00e9cution, puis d\u00e9clencher une demande de validation dans une partie <strong>statique<\/strong> de l\u2019interface utilisateur de l\u2019application\u00a0\u2013 ou par un canal s\u00e9par\u00e9, tel qu\u2019une notification\u00a0push.<\/li>\n<li><strong>Mettre en \u0153uvre un ancrage contextuel\u00a0:<\/strong> une attaque de d\u00e9tournement de session repose sur la d\u00e9viation progressive d\u2019une conversation pour y injecter des commandes malveillantes. L\u2019ancrage contextuel constitue un m\u00e9canisme technique qui applique algorithmiquement l\u2019int\u00e9grit\u00e9 conversationnelle. Lorsqu\u2019un agent client initie une session, il doit cr\u00e9er une ancre de t\u00e2che fond\u00e9e sur l\u2019intention initiale de la requ\u00eate utilisateur. Au fil de l\u2019interaction, l\u2019agent client doit constamment v\u00e9rifier que les instructions de l\u2019agent distant demeurent s\u00e9mantiquement align\u00e9es sur cette ancre. Toute d\u00e9viation significative ou introduction de sujet \u00e9tranger doit conduire l\u2019agent client \u00e0 signaler l\u2019\u00e9change comme une tentative de d\u00e9tournement et \u00e0 mettre fin \u00e0 la session.<\/li>\n<li><strong>Valider l\u2019identit\u00e9 et les capacit\u00e9s des agents\u00a0:<\/strong> la communication s\u00e9curis\u00e9e entre agents doit reposer sur une confiance v\u00e9rifiable. Avant d\u2019\u00e9tablir une session, les agents doivent pr\u00e9senter des mat\u00e9riels d\u2019authentification v\u00e9rifiables, comme des <a href=\"https:\/\/github.com\/sigstore\/sigstore-a2a\" target=\"_blank\" rel=\"noopener\">AgentCards sign\u00e9es de mani\u00e8re cryptographique<\/a>. Cela permet \u00e0 chaque participant de confirmer l\u2019identit\u00e9, l\u2019origine et les capacit\u00e9s d\u00e9clar\u00e9es de l\u2019autre. Si ce contr\u00f4le n\u2019emp\u00eache pas qu\u2019un agent de confiance soit subverti, il \u00e9limine le risque d\u2019usurpation d\u2019agent et de spoofing, tout en constituant un registre auditable et difficilement falsifiable de l\u2019ensemble des interactions.<\/li>\n<li><strong>Rendre l\u2019activit\u00e9 de l\u2019agent client visible pour les utilisateurs\u00a0:<\/strong> les instructions et actions dissimul\u00e9es restent invisibles aux utilisateurs finaux, qui voient uniquement la r\u00e9ponse finale fournie par l\u2019agent client. L\u2019interface peut combler cette faiblesse en exposant l\u2019activit\u00e9 des agents en temps r\u00e9el\u00a0\u2013 par exemple en mettant en \u00e9vidence les invocations d\u2019outils, en affichant des journaux d\u2019ex\u00e9cution en direct ou en proposant des indicateurs visuels des instructions distantes. Ces signaux am\u00e9liorent la vigilance des utilisateurs et augmentent les chances de d\u00e9tecter une activit\u00e9 suspecte.<\/li>\n<\/ul>\n<h2><a id=\"post-165318-_heading=h.ixehh97musux\"><\/a>Conclusion<\/h2>\n<p>Cet article pr\u00e9sente le d\u00e9tournement de session agentique, une nouvelle technique d\u2019attaque visant la communication inter-agents dans les syst\u00e8mes\u00a0A2A. Contrairement aux menaces impliquant des outils malveillants ou des utilisateurs finaux, un agent compromis constitue un adversaire bien plus redoutable. Propuls\u00e9 par un mod\u00e8le d\u2019IA, un agent compromis peut g\u00e9n\u00e9rer de mani\u00e8re autonome des strat\u00e9gies adaptatives, exploiter l\u2019\u00e9tat des sessions et \u00e9tendre son influence \u00e0 l\u2019ensemble des agents clients connect\u00e9s ainsi qu\u2019\u00e0 leurs utilisateurs.<\/p>\n<p>Bien qu\u2019aucun cas n\u2019ait encore \u00e9t\u00e9 observ\u00e9 dans la nature, la faible complexit\u00e9 de mise en \u0153uvre de cette attaque en fait un risque r\u00e9el. Il suffirait \u00e0 un adversaire de convaincre un agent victime de se connecter \u00e0 un pair malveillant pour que des instructions dissimul\u00e9es puissent ensuite \u00eatre inject\u00e9es sans visibilit\u00e9 pour l\u2019utilisateur. La protection contre ce type de menace repose sur une d\u00e9fense en multicouches, combinant\u00a0:<\/p>\n<ul>\n<li>une validation\u00a0HITL pour toutes les actions sensibles\u00a0;<\/li>\n<li>une logique de confirmation ex\u00e9cut\u00e9e hors des prompts du mod\u00e8le\u00a0;<\/li>\n<li>un ancrage contextuel pour d\u00e9tecter les instructions hors sujet et une validation cryptographique des agents distants.<\/li>\n<\/ul>\n<p>\u00c0 mesure que les \u00e9cosyst\u00e8mes multi-agents se d\u00e9veloppent, leur interop\u00e9rabilit\u00e9 ouvre \u00e9galement de nouvelles surfaces d\u2019attaque. Les professionnels doivent partir du principe que la communication d\u2019agent \u00e0 agent n\u2019est pas intrins\u00e8quement digne de confiance. Les cadres d\u2019orchestration doivent donc \u00eatre con\u00e7us avec des garde-fous multicouche, afin de contenir les risques pos\u00e9s par des adversaires adaptatifs aliment\u00e9s par l\u2019IA.<\/p>\n<h3><a id=\"post-165318-_heading=h.x3mqx1bf1du9\"><\/a>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/prisma-ai-runtime-security\" target=\"_blank\" rel=\"noopener\">Prisma\u00a0AIRS<\/a> est con\u00e7u pour assurer une protection en temps r\u00e9el des applications, mod\u00e8les, donn\u00e9es et agents d\u2019IA. La solution analyse le trafic r\u00e9seau et le comportement applicatif afin de d\u00e9tecter des menaces telles que le prompt\u00a0injection, les Attaques de denial-of-Service et l\u2019exfiltration de donn\u00e9es, tout en appliquant des mesures de protection en ligne, au niveau du r\u00e9seau et des API.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/sase\/ai-access-security\" target=\"_blank\" rel=\"noopener\">AI\u00a0Access\u00a0Security<\/a> a \u00e9t\u00e9 con\u00e7u pour offrir une visibilit\u00e9 et un contr\u00f4le accrus sur les solutions de GenAI tierces. Cette solution contribue \u00e0 pr\u00e9venir les expositions de donn\u00e9es sensibles, les usages non s\u00e9curis\u00e9s de mod\u00e8les \u00e0 risque et les r\u00e9sultats potentiellement pr\u00e9judiciables, gr\u00e2ce \u00e0 l\u2019application de politiques de s\u00e9curit\u00e9 et \u00e0 la surveillance de l\u2019activit\u00e9 des utilisateurs. Ensemble, Prisma\u00a0AIRS et AI\u00a0Access\u00a0Security permettent de s\u00e9curiser le d\u00e9veloppement d\u2019applications d\u2019entreprise reposant sur l\u2019IA ainsi que leurs interactions avec des syst\u00e8mes externes.<\/p>\n<p><a href=\"https:\/\/www.google.com\/url?q=https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/ai-security-posture-management&amp;sa=D&amp;source=docs&amp;ust=1761584961380271&amp;usg=AOvVaw2b8cT4GVqWx6VcY3a357uA\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Cloud AI-SPM<\/a> assure une analyse et une classification automatiques des actifs li\u00e9s \u00e0 l\u2019IA, qu\u2019il s\u2019agisse de mod\u00e8les commerciaux ou autog\u00e9r\u00e9s, afin de d\u00e9tecter les donn\u00e9es sensibles et d\u2019\u00e9valuer la posture de s\u00e9curit\u00e9 associ\u00e9e. Le contexte d\u2019analyse est d\u00e9termin\u00e9 en fonction du type d\u2019IA, de l\u2019environnement\u00a0cloud d\u2019h\u00e9bergement, du niveau de risque, de la posture de s\u00e9curit\u00e9 et des jeux de donn\u00e9es utilis\u00e9s.<\/p>\n<p>Une <a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/ai-security-assessment\" target=\"_blank\" rel=\"noopener\">\u00e9valuation de s\u00e9curit\u00e9 de l\u2019IA Unit\u00a042<\/a> peut vous aider \u00e0 identifier de mani\u00e8re proactive les menaces les plus susceptibles de cibler votre environnement d\u2019IA.<\/p>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cliquez ici pour en savoir plus sur la Cyber Threat Alliance.<\/a><\/p>\n<h2><a id=\"post-165318-_heading=h.z7n4mz69zr1m\"><\/a>R\u00e9f\u00e9rences<\/h2>\n<ul>\n<li><a href=\"https:\/\/arxiv.org\/html\/2507.06850v1\" target=\"_blank\" rel=\"noopener\">The Dark Side of LLMs Agent-based Attacks for Complete Computer Takeover<\/a> \u2013 Matteo Lupinacci et al., arXiv:2507.06850<\/li>\n<li><a href=\"https:\/\/google.github.io\/adk-docs\/agents\/multi-agents\/\" target=\"_blank\" rel=\"noopener\">Multi-Agent Systems in ADK<\/a> \u2013 Agent Development Kit, Google GitHub<\/li>\n<li><a href=\"https:\/\/langchain-ai.github.io\/langgraph\/concepts\/multi_agent\/\" target=\"_blank\" rel=\"noopener\">Graph API overview<\/a> \u2013 LangChain<\/li>\n<li><a href=\"https:\/\/a2a-protocol.org\/latest\/\" target=\"_blank\" rel=\"noopener\">A2A Protocol<\/a> \u2013 The Linux Foundation<\/li>\n<li><a href=\"https:\/\/modelcontextprotocol.io\/docs\/getting-started\/intro\" target=\"_blank\" rel=\"noopener\">Model Context Protocol (MCP)<\/a> \u2013 Model Context Protocol<\/li>\n<li><a href=\"https:\/\/scale.com\/research\/mhj\" target=\"_blank\" rel=\"noopener\">LLM Defenses Are Not Robust to Multi-Turn Human Jailbreaks Yet<\/a> \u2013 Nathaniel Li et al., Scale<\/li>\n<li><a href=\"https:\/\/google.github.io\/adk-docs\/\" target=\"_blank\" rel=\"noopener\">Google Agent Development Kit<\/a> \u2013 Agent Development Kit, Google GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/google\/adk-samples\/tree\/main\/python\/agents\/financial-advisor\" target=\"_blank\" rel=\"noopener\">Google adk-samples<\/a> \u2013 Google GitHub<\/li>\n<li><a href=\"https:\/\/modelcards.withgoogle.com\/assets\/documents\/gemini-2.5-pro.pdf\" target=\"_blank\" rel=\"noopener\">Gemini 2.5 Pro [PDF]<\/a> \u2013 Google<\/li>\n<li><a href=\"https:\/\/storage.googleapis.com\/deepmind-media\/Model-Cards\/Gemini-2-5-Flash-Model-Card.pdf\" target=\"_blank\" rel=\"noopener\">Gemini 2.5 Flash<\/a> \u2013 Google<\/li>\n<li><a href=\"https:\/\/google.github.io\/adk-docs\/tools\/built-in-tools\/#google-search\" target=\"_blank\" rel=\"noopener\">ADK Google Search Tool<\/a> \u2013 Google GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/google\/adk-web\" target=\"_blank\" rel=\"noopener\">ADK Developer Web UI<\/a> \u2013 Google GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/sigstore\/sigstore-a2a\" target=\"_blank\" rel=\"noopener\">Sigstore A2A<\/a> \u2013 Google GitHub<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.<\/p>\n","protected":false},"author":316,"featured_media":163284,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8832,8850],"tags":[9256,9514,9258],"product_categories":[],"coauthors":[1388,73],"class_list":["post-165318","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-fr","category-vulnerabilities-fr","tag-genai-fr","tag-google-fr","tag-llm-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A<\/title>\n<meta name=\"description\" content=\"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A\" \/>\n<meta property=\"og:description\" content=\"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-31T20:19:16+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-13T21:31:28+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Jay Chen, Royce Lu\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A","description":"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/","og_locale":"fr_FR","og_type":"article","og_title":"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A","og_description":"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/","og_site_name":"Unit 42","article_published_time":"2025-10-31T20:19:16+00:00","article_modified_time":"2025-11-13T21:31:28+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Jay Chen, Royce Lu","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/"},"author":{"name":"Jay Chen","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f7cab9d296947d58f0cb557511cbbfe"},"headline":"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A","datePublished":"2025-10-31T20:19:16+00:00","dateModified":"2025-11-13T21:31:28+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/"},"wordCount":4517,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","keywords":["GenAI","Google","LLM"],"articleSection":["Recherche sur les menaces","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/","name":"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","datePublished":"2025-10-31T20:19:16+00:00","dateModified":"2025-11-13T21:31:28+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f7cab9d296947d58f0cb557511cbbfe"},"description":"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","width":1920,"height":900,"caption":"A man wearing glasses focused on a screen with reflections of code visible in the glasses."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/agent-session-smuggling-in-agent2agent-systems\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Agents d\u2019IA hors de contr\u00f4le\u00a0: les attaques de d\u00e9tournement de session dans les syst\u00e8mes\u00a0A2A"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f7cab9d296947d58f0cb557511cbbfe","name":"Jay Chen","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Jay Chen"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/jaychenpaloaltonetworks-com\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/165318","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/316"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=165318"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/165318\/revisions"}],"predecessor-version":[{"id":165385,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/165318\/revisions\/165385"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/163284"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=165318"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=165318"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=165318"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=165318"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=165318"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}