🗓️ Contexte

Article publié le 3 mai 2026 par Alex Schapiro sur le blog de Strix (strix.ai). Strix est une entreprise développant un agent IA offensif open-source d’audit de sécurité. L’article constitue un post-mortem de divulgation responsable concernant Schemata, une plateforme d’entraînement militaire virtuel en 3D, contractant actif du Département de la Défense américain (DoD) et financée par Andreessen Horowitz.

🔍 Vulnérabilité découverte

Strix a pointé son agent autonome contre l’application Schemata dans le cadre d’un benchmark. L’agent a identifié une absence totale de contrôle d’autorisation sur l’API multi-tenant de la plateforme. Avec un simple compte non privilégié, il était possible d’accéder à l’ensemble des données de tous les tenants sans restriction.

Données accessibles :

  • Liste complète des utilisateurs : noms, emails, données d’inscription, bases militaires d’affectation des membres des forces armées américaines
  • Centaines de manuels d’entraînement confidentiels : métadonnées de cours et liens directs vers des fichiers AWS S3 contenant des modules d’opérations militaires sensibles
  • Routes en écriture : absence de contrôle permettant potentiellement la modification ou suppression de cours via des requêtes PUT/DELETE

Parmi les contenus exposés : cours 3D de maintenance navale (documents marqués confidentiels), manuels de terrain de l’armée sur le maniement et déploiement d’engins explosifs, et centaines de fiches de membres actifs des forces armées.

📅 Timeline de divulgation

  • 2 décembre 2025 : Premier contact avec Schemata. Réponse initiale du CEO suggérant une demande de paiement.
  • 2 décembre 2025 : Clarification par Strix : aucune compensation demandée.
  • 8–29 décembre 2025 : Multiples relances sans réponse exploitable.
  • 27 janvier 2026 : Vérification indépendante — la vulnérabilité est toujours active.
  • 1er mai 2026 : Dernier avertissement avant publication. Schemata reconnaît l’exposition et annonce un correctif immédiat.
  • 3 mai 2026 : Publication après vérification de la remédiation, soit 152 jours après la divulgation initiale.

⚖️ Contexte réglementaire

Schemata est soumise aux obligations DFARS 252.204-7012 et aux exigences CMMC relatives aux Informations Non Classifiées Contrôlées (CUI). L’exposition d’un tel volume de données militaires sans couche d’autorisation constitue selon Strix un manquement fondamental et potentiellement un incident à déclaration obligatoire.

📰 Nature de l’article

Post-mortem de divulgation responsable publié par la société ayant découvert la vulnérabilité, visant à informer les utilisateurs et partenaires affectés et à documenter publiquement le processus de disclosure.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1087 — Account Discovery (Discovery)
  • T1213 — Data from Information Repositories (Collection)

Malware / Outils

  • Strix (tool)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ strix.ai — source non référencée (0pts)
  • ✅ 8042 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.strix.ai/blog/how-strix-found-zero-auth-vulnerability-dod-backed-startup