Blogs & Articles

⚠️ OpenClaw : pourquoi les experts en cybersécurité recommandent de partir du principe que vous êtes compromis
08 avril 2026
Auteur Peter Senn
#OpenClaw #cybersécurité #agents IA #CVE #Docker #sécurité PME #ClawHub #vulnérabilité #supply chain #privilege escalation
  • Mis à jour le:

    • ⚠️ OpenClaw : pourquoi les experts en cybersécurité recommandent de partir du principe que vous êtes compromis

    🔄 Mise à jour 20 avril 2026 — La version minimale recommandée est désormais OpenClaw ≥ 2026.4.14 (et non plus 2026.3.28). La batch de patches d'avril 2026 a ajouté au moins 13 nouvelles CVEs, dont CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (détournement de sessionId) et CVE-2026-40037 (SSRF cross-origin). Le rythme de publication des CVEs ne ralentit pas — la posture « partez du principe que vous êtes compromis » reste plus que jamais d'actualité.
     
    Alerte active : Cette alerte concerne toutes les versions d'OpenClaw antérieures à 2026.4.14. Si vous n'avez pas encore mis à jour, traitez votre environnement comme potentiellement compromis.

    OpenClaw (anciennement Clawdbot puis Moltbot, renommé en janvier 2026) est un framework d'agent IA open source permettant à un assistant IA d'agir au nom d'un utilisateur — fichiers, Slack, Discord, Telegram, achats en ligne — en utilisant ses propres accès et permissions. Lancé en novembre 2025, il a atteint 347 000 étoiles GitHub en moins de six mois. En cinq mois également, 138 CVEs y ont été associés — dont 7 critiques, 49 de sévérité haute. Si vous ou votre équipe utilisez OpenClaw, la posture recommandée par les experts est sans équivoque : partez du principe que vous êtes compromis.

    Points clés à retenir

    • CVE-2026-25253 (CVSS 8.8) : RCE en 1 clic via WebSocket, 35,4 % des déploiements observés vulnérables au RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9) : contrôle admin sans credentials
    • 12 % des skills ClawHub malveillants en février 2026 (341 sur 2 857) — 824+ actifs au 3 avril 2026 (campagne ClawHavoc)
    • +135 000 instances exposées dans 82 pays, dont 63 % sans authentification (SecurityScorecard STRIKE, février 2026)
    • Microsoft déconseille tout déploiement sur poste contenant des données sensibles (19/02/2026)
    • Version minimale recommandée : 2026.4.14

    Qu'est-ce qu'OpenClaw ?

    OpenClaw (anciennement Clawdbot puis Moltbot — trois noms successifs en janvier 2026) est un framework d'agent IA open source qui permet à un assistant IA d'automatiser des actions au nom d'un utilisateur humain — accès aux fichiers locaux et réseau, messagerie Slack et Discord, gestion de Telegram, transactions en ligne, exécution de tâches sur des services tiers — en utilisant les mêmes droits et credentials que l'utilisateur.

    Lancé en novembre 2025, OpenClaw a atteint 347 000 étoiles GitHub en moins de six mois. Sa popularité est virale. Son modèle de sécurité, lui, est fondamentalement fragile : l'agent dispose des mêmes droits que l'utilisateur, connecté à tous ses services. Une faille ne compromet pas un composant isolé — elle compromet tout ce à quoi l'agent avait accès.

    Chronologie des incidents (novembre 2025 – avril 2026)

    Date Incident Sévérité
    Novembre 2025 Lancement d'OpenClaw (ex-Clawdbot, puis Moltbot, renommé OpenClaw en janvier 2026), adoption virale — 347 000 ⭐ GitHub
    29 janv – 3 fév 2026 CVE-2026-25253 (CVSS 8.8) : RCE en 1 clic via WebSocket local. Patch v2026.1.29 publié le 29 janvier 2026 ; disclosure publique le 3 février 2026. 35,4 % des déploiements observés vulnérables au RCE. 🔴 Critique
    Février 2026 Campagne ClawHavoc (Koi Security) : 341 skills malveillants sur 2 857 audités (12 %) — keyloggers et credential stealers 🔴 Critique
    19 février 2026 Microsoft Security Blog : guide officiel déconseillant le déploiement sur tout poste contenant des données sensibles 🟠 Alerte
    Mars 2026 CVE-2026-22172 (CVSS 9.9) : auto-déclaration de scopes admin via WebSocket — toutes versions avant 2026.3.12 🔴 Critique
    19 mars 2026 CVE-2026-32038 : contournement isolation réseau Docker via network=container:. Corrigé dans OpenClaw 2026.2.24 🔴 Critique
    13-29 mars 2026 CVE-2026-32922 (CVSS 9.9) : escalade via device.token.rotate. Patch v2026.3.11 publié le 13 mars ; publication CVE le 29 mars. +135 000 instances exposées dans 82 pays, 63 % sans auth (SecurityScorecard STRIKE, février 2026 ; reprise par ARMO, mars 2026) 🔴 Critique
    3 avril 2026 Ars Technica : "Assume compromise" — 3 nouvelles vulnérabilités de sévérité haute à critique, dont CVE-2026-33579 (CVSS jusqu'à 9.8). 824+ skills malveillants actifs 🔴 Critique

    138 CVEs trackés entre février et avril 2026 — dont 7 critiques et 49 de sévérité haute (tracker GitHub jgamblin/OpenClawCVEs ; analyse reprise par Blink Security, avril 2026)

    Les 5 vulnérabilités majeures décryptées

    CVE-2026-25253 — Exécution de code à distance en 1 clic (CVSS 8.8)

    RCE (Remote Code Execution) : vulnérabilité permettant à un attaquant distant d'exécuter du code arbitraire sur la machine cible, sans accès physique ni interaction de l'utilisateur au-delà d'une simple visite sur une page web malveillante.

    La vulnérabilité exploite le gateway WebSocket d'OpenClaw (port 18789 par défaut, validation d'origine insuffisante). Une simple visite sur une page piégée suffisait à compromettre la machine. 35,4 % des déploiements observés étaient vulnérables au RCE (SecurityScorecard STRIKE, février 2026). Le patch v2026.1.29 a été publié le 29 janvier 2026, soit 5 jours avant la disclosure publique du 3 février 2026 (ProArch Security, mars 2026).

    CVE-2026-22172 — Déclaration admin via WebSocket (CVSS 9.9)

    Des clients WebSocket pouvaient s'auto-déclarer avec des scopes administrateur, contournant entièrement l'authentification. Affecte toutes les versions antérieures à 2026.3.12.

    CVE-2026-32038 — Contournement de l'isolation réseau Docker (corrigée dans OpenClaw 2026.2.24)

    Via le paramètre network=container:, un agent accédait au namespace réseau d'autres conteneurs — base de données, services internes, APIs privées. Nécessitait un accès opérateur de confiance préalable.

    CVE-2026-32922 — Escalade via device.token.rotate (CVSS 9.9)

    135 000+ instances exposées sur internet dans 82 pays — dont 63 % sans aucune authentification (SecurityScorecard STRIKE, février 2026 ; reprise par ARMO Security, mars 2026)

    La fonction device.token.rotate ne contraignait pas les scopes des nouveaux tokens générés. Un attaquant avec le niveau de permission le plus bas obtenait un contrôle administrateur complet. Le patch a été publié dans la version 2026.3.11 le 13 mars 2026 ; la CVE a été publiée sur cve.org le 29 mars 2026.

    CVE-2026-33579 — Escalade via /pair approve (CVSS jusqu'à 9.8)

    La commande /pair approve ne transmettait pas les scopes de sécurité du demandeur dans la vérification d'autorisation centrale. Patchée en version 2026.3.28. Le score CVSS officiel n'est pas encore publié par NVD à la date de cet article ; le score « jusqu'à 9.8 » est rapporté par Ars Technica et Blink Security (avril 2026).

    La supply chain ClawHub : 824+ skills malveillants actifs

    Credential stealer : logiciel malveillant qui capture et exfiltre silencieusement les credentials d'authentification — tokens OAuth, clés API, variables d'environnement — vers des serveurs contrôlés par l'attaquant, sans aucune action visible de l'utilisateur.

    En février 2026, des chercheurs de Koi Security ont détecté la campagne ClawHavoc : des skills distribués via ClawHub officiel, déguisés en outils de productivité (Gmail, Notion, Slack, GitHub), embarquant du code malveillant.

    Chiffres clés (Koi Security, février 2026) : 341 skills malveillants identifiés sur 2 857 audités (12 %), dont 335 attribués à la même campagne ClawHavoc. Ce chiffre a depuis progressé : 824+ skills malveillants actifs répertoriés au 3 avril 2026 (Blink Security, avril 2026), incluant keyloggers et credential stealers ciblant tokens OAuth, clés API et variables d'environnement.

    Docker et VM : une protection insuffisante

    Vecteur d'attaque Docker seul VM dédiée Docker + 5 flags
    CVE-2026-25253 (RCE WebSocket) ⚠️ Partiel
    CVE-2026-32038 (namespace réseau) ❌ avant OpenClaw 2026.2.24
    CVE-2026-22172 (admin scope auto)
    CVE-2026-32922 (device.token.rotate)
    Skills malveillants ClawHub ⚠️ Partiel ⚠️ Partiel
    Exploit kernel (kernel partagé)
    Microsoft Security Blog (19/02/2026) : « Le runtime peut ingérer du texte non fiable, télécharger et exécuter des skills depuis des sources externes, et effectuer des actions avec les credentials qui lui sont assignés — sans contrôles équivalents sur l'identité, la gestion des entrées ou le scoping des privilèges. (…) Si une organisation détermine qu'OpenClaw doit être évalué, il doit être déployé uniquement dans un environnement entièrement isolé — VM dédiée, credentials non-privilégiés, accès limité à des données non-sensibles, monitoring continu et plan de reconstruction. »
    Microsoft Security Blog, 19 février 2026

    À retenir : Docker réduit le rayon d'impact. Il ne garantit pas l'invulnérabilité. Un conteneur Docker partage le kernel hôte — une vulnérabilité kernel compromet tous les conteneurs de la machine. Docker contourne les règles UFW en modifiant iptables directement — votre firewall VM ne protège pas vos conteneurs par défaut.

    Ce que vous devez faire maintenant

    Mises à jour obligatoires

    • Mettre à jour vers OpenClaw 2026.4.14 minimum (ferme CVE-2026-33579)
    • CVE-2026-32922 est déjà corrigé depuis OpenClaw 2026.3.11 (13 mars 2026)
    • OpenClaw ≥ 2026.2.24 ferme CVE-2026-32038

    5 flags Docker de durcissement obligatoires

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # Ne JAMAIS monter le socket Docker (/var/run/docker.sock)

    Firewall et réseau

    • Configurer UFW via les chaînes iptables DOCKER-USER (les règles UFW standard ne s'appliquent pas aux conteneurs)
    • Bloquer le port 18789 en exposition publique
    • Bind le gateway WebSocket à 127.0.0.1 uniquement (jamais 0.0.0.0)

    Audit et révocation

    • Auditer chaque skill installé depuis ClawHub entre novembre 2025 et fin février 2026
    • Révoquer et régénérer tous les tokens et clés API connectés à OpenClaw
    • Traiter chaque session passée comme potentiellement compromise

    FAQ — Questions fréquentes sur la sécurité OpenClaw

    Mettre à jour vers 2026.4.14 suffit-il à être protégé ?

    Le patch corrige les vulnérabilités connues au 3 avril 2026. Il ne corrige pas ce qui s'est potentiellement passé pendant les semaines d'exposition. Si OpenClaw était en production avant le patch, la posture recommandée reste : révoquer tous les tokens, réinitialiser tous les credentials, traiter l'environnement comme potentiellement compromis.

    Docker me protège-t-il des vulnérabilités OpenClaw ?

    Non, pas entièrement. CVE-2026-25253 (RCE WebSocket) et CVE-2026-22172 (admin scope) ne sont pas mitigées par Docker seul. CVE-2026-32038 contournait spécifiquement l'isolation réseau Docker. Les 5 flags de durcissement doivent être appliqués en plus de la mise à jour vers 2026.4.14.

    Combien d'instances OpenClaw sont exposées sur internet ?

    Selon les données de sécurité de février 2026, plus de 135 000 instances OpenClaw sont exposées sur internet dans 82 pays. Parmi elles, 63 % fonctionnent sans aucune authentification (SecurityScorecard STRIKE, février 2026 ; reprise par ARMO Security, mars 2026) — signifiant que n'importe quel visiteur réseau peut demander un accès de jumelage sans fournir d'identifiants.

    Que faire si j'ai installé des skills depuis ClawHub avant mars 2026 ?

    Auditer chaque skill installé entre novembre 2025 et fin février 2026. Les skills déguisés en outils de productivité (Gmail, Notion, Slack, GitHub) sont particulièrement suspects. En cas de doute : désinstaller le skill, révoquer tous les credentials auxquels OpenClaw avait accès, régénérer les clés API associées.

    OpenClaw peut-il être utilisé de façon sécurisée en entreprise ?

    Microsoft Security Blog (19/02/2026) : « Il n'est pas approprié de l'exécuter sur un poste personnel ou d'entreprise standard. Si une organisation détermine qu'OpenClaw doit être évalué, il doit être déployé uniquement dans un environnement entièrement isolé — VM dédiée, credentials non-privilégiés, accès uniquement à des données non-sensibles, monitoring continu et plan de reconstruction. »

    Le problème est-il spécifique à OpenClaw ou structurel aux agents IA ?

    Le problème est structurel. Un agent IA opérant avec les droits larges de l'utilisateur, connecté à de multiples services, crée une surface d'attaque exceptionnelle. Une faille ne compromet pas un composant isolé — elle compromet tout ce à quoi l'agent avait accès. OpenClaw est un cas d'école, pas une exception. Le modèle actuel « un agent, accès large à tout » est fondamentalement fragile.

    Quels sont les indicateurs de compromission à surveiller ?

    Activité inhabituelle sur vos comptes Slack, Discord, Telegram ou GitHub ; tokens OAuth révoqués ou régénérés sans action de votre part ; nouvelles sessions actives sur des services auxquels OpenClaw avait accès ; fichiers créés, modifiés ou supprimés sans action identifiable ; requêtes réseau sortantes vers des domaines inconnus depuis le serveur hébergeant OpenClaw.

    Vous avez des doutes sur votre posture de sécurité face aux agents IA ?
    Nos experts Bexxo peuvent vous accompagner pour un audit ou une mise en conformité.
    → Contactez-nous sur bexxo.ch

    Sources

    Rechercher un article

    Catégories

    Agents IA
    Alertes sécurité
    CVE Find
    Cybersécurité
    Services

    Tags

    #CVE #CVEFind #ClawHub #Docker #OpenClaw #PME #Vulnérabilités #agents IA #cvefind #cybersécurité #privilege escalation #statistiques #supply chain #sécurité PME #vulnérabilité

    Les plus vues

    ⚠️ OpenClaw : pourquoi les experts en cybersécurité recommandent de partir du principe que vous êtes compromis
    ⚠️ OpenClaw : pourquoi les experts en cybersécurité recommandent de partir du principe que vous êtes compromis 08 avr. 2026
    Statistiques CVE - Juin 2025
    Statistiques CVE - Juin 2025 02 juil. 2025
    Statistiques CVE - Mai 2025
    Statistiques CVE - Mai 2025 04 juin 2025
    Mise à jour régulière : la stratégie de cybersécurité n°1 pour éliminer les failles connues
    Mise à jour régulière : la stratégie de cybersécurité n°1 pour éliminer les failles connues 11 janv. 2025
    Pourquoi surveiller les failles de sécurité est essentiel pour votre entreprise ?
    Pourquoi surveiller les failles de sécurité est essentiel pour votre entreprise ? 04 févr. 2025
    Cybersécurité : pourquoi les PME sont-elles particulièrement vulnérables aux cyberattaques ?
    Cybersécurité : pourquoi les PME sont-elles particulièrement vulnérables aux cyberattaques ? 19 mars 2025
    Statistiques CVE - Avril 2025
    Statistiques CVE - Avril 2025 04 mai 2025
    Statistiques CVE - Décembre 2024
    Statistiques CVE - Décembre 2024 06 janv. 2025
    Statistiques CVE - Février 2025
    Statistiques CVE - Février 2025 03 mars 2025
    Statistiques CVE - Novembre 2024
    Statistiques CVE - Novembre 2024 02 déc. 2024
    Les informations affichées sur CVE Find proviennent de plusieurs sources de référence rigoureusement sélectionnées. Les données CVE sont fournies par MITRE Corporation et la National Vulnerability Database (NVD). Le catalogue des vulnérabilités activement exploitées (KEV) provient de la Cybersecurity and Infrastructure Security Agency (CISA), tandis que les scores EPSS sont issus de FIRST.org. Enfin, les données relatives aux faiblesses logicielles (CWE) et aux schémas d'attaque courants (CAPEC) sont maintenues par MITRE Corporation, et les informations sur les configurations logicielles et matérielles (CPE) proviennent du NVD.