Sandbox
Environnement isolé et contrôlé dans lequel un programme s'exécute avec des permissions restreintes, empêchant tout impact sur le système hôte en cas de comportement malveillant.
Une sandbox (bac à sable) est un environnement d'exécution isolé et contrôlé dans lequel un programme s'exécute avec des permissions restreintes, empêchant tout impact sur le système hôte en cas de comportement malveillant ou imprévu. Le sandboxing est un pilier de la sécurité informatique moderne : navigateurs web, applications mobiles, conteneurs cloud et agents IA utilisent des mécanismes de sandbox pour limiter la surface d'attaque. 78% des malwares modernes tentent de détecter et contourner les sandbox selon Palo Alto Networks.
Définition technique
Mécanismes d'isolation
Le sandboxing repose sur plusieurs couches d'isolation. L'isolation de processus (un programme par processus, mémoire séparée) est le niveau de base. L'isolation de filesystem (chroot, mount namespaces) restreint l'accès aux fichiers. L'isolation réseau (network namespaces, firewalling) contrôle les connexions. L'isolation de ressources (cgroups) limite CPU, mémoire et I/O. Les hyperviseurs (VM) offrent l'isolation la plus forte avec un noyau séparé.
Docker utilise les namespaces Linux (PID, network, mount, user) et les cgroups pour isoler les conteneurs. Cette isolation est plus légère qu'une VM mais moins stricte : le conteneur partage le noyau de l'hôte, ce qui rend possible les container escapes (évasion vers l'hôte). Des surcouches comme gVisor (Google) et Kata Containers ajoutent une isolation de type VM au-dessus des conteneurs.
Sandbox des agents IA
Les agents IA personnels (OpenClaw, Claude Code, Devin) posent un défi spécifique de sandboxing : ils doivent accéder au système de fichiers, au terminal et au réseau pour être utiles, mais chaque accès est un vecteur d'attaque potentiel. OpenClaw proposait une option Docker pour l'isolation, mais la CVE-2026-24763 a démontré qu'un chemin de projet malveillant pouvait contourner cette sandbox et exécuter des commandes sur l'hôte.
Enjeux actuels
Sandbox escape et agents IA
Le contournement de sandbox est un risque critique pour les agents IA autonomes. Les 824 extensions malveillantes du ClawHub d'OpenClaw exploitaient l'absence ou la faiblesse du sandboxing pour accéder aux clés SSH, tokens API et mots de passe du système hôte. L'infostealer ClawHavoc ciblait spécifiquement les utilisateurs macOS via des extensions apparemment légitimes.
En due diligence, l'évaluation du modèle de sandbox d'un agent IA est devenue un critère incontournable : quel niveau d'isolation est appliqué par défaut, quelles permissions sont demandées, et comment les extensions tierces sont-elles sandboxées.
Cloud et conteneurs
51% des environnements cloud exécutent des conteneurs sans hardening de sécurité adéquat selon Sysdig. Les bonnes pratiques incluent : exécution non-root, filesystem en lecture seule, profils seccomp restrictifs, et scanning des images pour les CVE connues. L'image Docker officielle d'OpenClaw embarquait 2 062 vulnérabilités connues, illustrant les risques d'images non sécurisées utilisées en production.
Standards et spécifications
OCI Runtime Specification
Standard pour l'isolation des conteneurs (Docker, containerd, Podman)
W3C Permissions Policy
Mécanisme de sandboxing des fonctionnalités web dans les navigateurs
Questions fréquentes
Quels sont les différents types de sandbox ?
Les sandbox applicatives isolent un programme du système d'exploitation (macOS App Sandbox, Windows Sandbox, Android application sandbox). Les sandbox de conteneurs (Docker, Podman) isolent un processus avec son propre filesystem, réseau et limites de ressources via namespaces et cgroups Linux. Les sandbox navigateur isolent chaque onglet et extension dans un processus séparé (Chrome, Firefox).
Les sandbox réseau (VLAN, micro-segmentation) isolent des segments de réseau. Les sandbox d'analyse malware (Cuckoo, Joe Sandbox, ANY.RUN) exécutent du code suspect dans un environnement instrumenté pour observer son comportement sans risque pour le système hôte. Chaque type offre un niveau d'isolation différent, du plus léger (conteneur) au plus strict (machine virtuelle).
Comment une sandbox peut-elle être contournée ?
Les techniques d'évasion (sandbox escape) exploitent des vulnérabilités dans le mécanisme d'isolation. Le contournement Docker par manipulation du PATH (CVE-2026-24763 d'OpenClaw) permettait à un processus conteneurisé d'exécuter des commandes sur l'hôte. Les CVE de type container escape exploitent des failles dans runc, containerd ou les namespaces Linux.
Les malwares avancés détectent les sandbox par fingerprinting (vérification du matériel, timing attacks, interaction utilisateur absente) et modifient leur comportement pour paraître inoffensifs. 78% des malwares modernes embarquent des techniques anti-sandbox selon Unit 42. Les sandbox doivent être régulièrement mises à jour et renforcées (seccomp, AppArmor, SELinux).
Pourquoi le sandboxing est-il critique pour les agents IA ?
Les agents IA comme OpenClaw exécutent du code arbitraire sur la machine de l'utilisateur : installation de packages, manipulation de fichiers, requêtes réseau. Sans sandbox, un agent compromis (ou une extension malveillante) a accès à tout le système : clés SSH, tokens API, données personnelles. Le sandboxing limite l'impact d'une compromission.
OpenClaw proposait une option Docker pour l'isolation, mais la CVE-2026-24763 a montré que cette sandbox était contournable. L'enjeu pour les agents IA est de trouver l'équilibre entre isolation (sécurité) et accès au système (fonctionnalité). Claude Code, par exemple, utilise un système de permissions explicites pour chaque action système.