Vibe coding : des milliers de web apps exposent des données sensibles en ligne

IA & RH : l’entraînement des modèles expose les données sensibles de votre entreprise

Mercor, une plateforme spécialisée dans le recrutement de travailleurs qualifiés pour l'entraînement de modèles d'IA, a été victime début avril 2026 d'une faille de sécurité liée à LiteLLM, un projet open source intégré à son infrastructure. Selon TechCrunch, la brèche a permis à des attaquants, identifiés comme le groupe ShinyHunters, de compromettre des échanges internes Slack ainsi que des interactions entre humains et systèmes d'IA. Mercor aurait versé une rançon pour limiter les dégâts. L'entreprise travaillait notamment avec OpenAI et Anthropic pour affiner leurs modèles. Des données à caractère personnel auraient été exposées, incluant selon Business Insider des adresses personnelles, des identifiants et potentiellement des numéros de sécurité sociale de travailleurs impliqués dans ces missions. Cet incident illustre une vulnérabilité structurelle qui dépasse le simple incident technique. Les entreprises qui externalisent l'entraînement de leurs modèles d'IA confient de fait des données internes sensibles à des tiers dont elles ne maîtrisent ni les pratiques de sécurité ni les standards de gouvernance. Quand ces tiers s'appuient eux-mêmes sur des outils open source comme LiteLLM, chaque dépendance devient un point d'entrée potentiel. Pour les directions RH et IT, cela signifie que l'entraînement de l'IA n'est plus seulement une question technique : c'est une extension directe de la gestion des données sensibles de l'entreprise, avec des conséquences juridiques et réglementaires directes en cas de fuite, notamment sous le RGPD. Le modèle économique de Mercor repose sur une externalisation massive : des travailleurs indépendants, souvent sous-employés, annotent et corrigent des modèles destinés en partie à automatiser leur propre travail. Ces profils interviennent au coeur de systèmes internes sans toujours connaître les entreprises ni les données qu'ils manipulent, créant une zone grise documentée par New York Magazine. StrikeGraph rappelle que toute la chaîne d'approvisionnement de l'IA repose sur une multiplicité d'acteurs externes, plateformes d'annotation, freelances et outils communautaires, dont chaque maillon peut être compromis. L'affaire Mercor marque un signal d'alarme pour l'ensemble du secteur : à mesure que les entreprises accélèrent leurs projets d'IA, la question du contrôle de la chaîne de sous-traitance devient aussi critique que celle des modèles eux-mêmes.

💬 Tu sous-traites l'entraînement de tes modèles à une plateforme qui s'appuie sur un outil open source que personne n'a vraiment audité, et tu t'étonnes qu'il y ait une faille ? Ce qui m'inquiète ici, c'est moins Mercor que le modèle lui-même : dès qu'un tiers touche à tes données internes pour affiner un LLM, tu perds le contrôle sur toute la chaîne. OpenAI et Anthropic en face, ça rassure sur le papier, mais la sécurité ça ne se délègue pas.

Google met en garde contre des pages web malveillantes qui empoisonnent les agents IA

Des chercheurs de Google ont mis en lumière une menace croissante qui cible directement les agents IA déployés en entreprise : des pages web publiques contiennent des instructions malveillantes cachées, conçues pour détourner le comportement de ces systèmes autonomes. L'alerte est venue après l'analyse du dépôt Common Crawl, une base de données colossale regroupant des milliards de pages web publiques, où les équipes de sécurité ont découvert des pièges numériques dissimulés dans du code HTML ordinaire. Ces commandes invisibles, rédigées en texte blanc sur fond blanc ou enfouies dans les métadonnées, restent dormantes jusqu'au moment où un agent IA consulte la page pour en extraire des informations. L'agent ingère alors le contenu sans distinguer le texte légitime des instructions malveillantes, et exécute ces dernières avec ses propres privilèges d'accès aux systèmes internes de l'entreprise. Le danger concret est illustré par un scénario précis : un agent IA chargé par un département RH d'analyser le portfolio en ligne d'un candidat ingénieur pourrait se voir ordonner, via une instruction cachée dans ce même site, d'envoyer l'annuaire interne de l'entreprise à une adresse IP externe, puis de rédiger un avis positif sur le candidat. Ce type d'attaque, appelé injection de prompt indirecte, contourne intégralement les défenses existantes. Les pare-feux, les systèmes de détection d'intrusion et les plateformes de gestion des accès ne voient rien d'anormal : l'agent dispose de credentials légitimes, opère sous un compte de service autorisé, et ses actions ressemblent trait pour trait à ses opérations habituelles. Les tableaux de bord d'observabilité IA du marché, qui surveillent l'utilisation des tokens ou la latence des réponses, n'offrent quant à eux aucune visibilité sur l'intégrité des décisions prises. Cette vulnérabilité s'inscrit dans une transformation profonde de la cybersécurité à l'ère des systèmes agentiques. Les chercheurs de Google proposent plusieurs contre-mesures architecturales : déployer un modèle "sanitiseur" isolé, sans privilèges, pour récupérer et nettoyer le contenu web avant de le transmettre au moteur de raisonnement principal ; appliquer les principes du zéro-trust aux agents eux-mêmes, en cloisonnant strictement leurs droits selon leur mission (un agent de veille concurrentielle ne devrait jamais avoir accès en écriture au CRM interne) ; et construire des pistes d'audit capables de retracer la généalogie exacte de chaque décision prise par un système IA. L'enjeu dépasse la simple sécurité informatique : à mesure que les entreprises confient des tâches critiques à des agents autonomes connectés au web, la surface d'attaque s'élargit de façon inédite, sans que les outils de défense traditionnels ne soient en mesure de suivre.

💬 On a filé des accès aux systèmes internes à des agents qui naviguent librement sur le web, et on s'étonne maintenant que ça pose un problème. Le truc redoutable dans l'injection indirecte, c'est que tout a l'air normal de l'extérieur : credentials légitimes, compte autorisé, actions qui ressemblent aux opérations habituelles, les outils de détection ne voient rien. Le modèle sanitiseur isolé, c'est du bon sens, mais combien d'équipes vont vraiment l'implémenter avant qu'un agent RH envoie l'annuaire interne à une adresse inconnue ?

5 000 apps codées au feeling viennent de prouver que l'IA fantôme est la nouvelle crise des buckets S3

La société de cybersécurité israélienne RedAccess a découvert 380 000 actifs publiquement accessibles, applications, bases de données et infrastructures associées, construits avec des outils de "vibe coding" comme Lovable, Base44 et Replit, ainsi que la plateforme de déploiement Netlify. Sur ces 380 000 ressources, environ 5 000 (soit 1,3 %) contenaient des informations d'entreprise sensibles. Parmi les expositions vérifiées indépendamment par Axios et Wired : une application d'une compagnie maritime détaillant les rotations de navires dans les ports, les dossiers de patients d'un établissement pédiatrique de soins de longue durée, des données financières internes d'une banque brésilienne accessibles à quiconque connaissait l'URL, des résumés de consultations médicales, des stratégies d'achat publicitaire, et des conversations client non caviardées d'un fournisseur de cuisines britannique. RedAccess a également identifié des sites de phishing construits sur Lovable imitant Bank of America, FedEx, Trader Joe's et McDonald's. Selon la juridiction, plusieurs de ces expositions pourraient déclencher des obligations réglementaires sous HIPAA, le RGPD britannique ou la LGPD brésilienne. L'enjeu n'est pas anecdotique. Le rapport IBM sur le coût des violations de données 2025 indique que 20 % des organisations ont subi des incidents liés au shadow AI, ajoutant en moyenne 670 000 dollars au coût d'une violation, portant la moyenne à 4,63 millions de dollars. Parmi les organisations concernées, 97 % manquaient de contrôles d'accès adéquats et 63 % n'avaient aucune politique de gouvernance IA en place. Les violations liées au shadow AI exposent des données personnelles clients dans 65 % des cas, contre 53 % pour l'ensemble des violations. Le problème structurel est simple : la configuration par défaut de plusieurs plateformes de vibe coding rend les applications publiquement accessibles, indexées par Google, à moins que l'utilisateur ne bascule manuellement vers le mode privé, une étape que la majorité des créateurs non techniques ignorent ou oublient. Ce phénomène s'inscrit dans une tendance de fond documentée depuis plusieurs mois. En octobre 2025, Escape.tech avait scanné 5 600 applications vibe-codées accessibles publiquement et trouvé plus de 2 000 vulnérabilités critiques, plus de 400 secrets exposés (clés API, tokens d'accès) et 175 cas de données personnelles en clair incluant dossiers médicaux et coordonnées bancaires. Escape a levé 18 millions de dollars en série A en mars 2026, mené par Balderton, en citant précisément cette brèche de sécurité comme thesis centrale. Le cabinet Gartner prédit dans son rapport "Predicts 2026" que d'ici 2028, les approches prompt-to-app adoptées par les citizen developers augmenteront les défauts logiciels de 2 500 %, générant une nouvelle classe de bugs syntaxiquement corrects mais structurellement aveugles, dont les coûts de remédiation absorberont les budgets d'innovation.

💬 Le vrai problème, c'est pas l'IA : c'est que "public par défaut" tue à chaque génération technologique, et personne n'apprend. Des dossiers médicaux accessibles à quiconque connaît l'URL, c'est exactement ce qu'on avait avec les buckets S3 mal configurés en 2017, juste avec dix fois plus de gens non techniques aux manettes. Les plateformes vont devoir choisir : friction à l'onboarding, ou responsabilité juridique.

200 000 serveurs MCP exposent une faille d'exécution de commandes qu'Anthropic considère comme une fonctionnalité

Quatre chercheurs de la société OX Security ont révélé en avril 2026 une faille architecturale affectant environ 200 000 serveurs MCP (Model Context Protocol), le standard ouvert créé par Anthropic pour connecter les agents d'IA aux outils logiciels. Le transport STDIO, utilisé par défaut dans les SDK officiels Python, TypeScript, Java et Rust, exécute n'importe quelle commande système reçue sans aucune sanitisation ni frontière entre configuration et exécution. Les chercheurs Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok et Roni Bar ont scanné l'écosystème, identifié 7 000 serveurs publiquement accessibles avec STDIO actif, et extrapolé à 200 000 instances vulnérables au total. Ils ont confirmé l'exécution arbitraire de commandes sur six plateformes en production réelle. La divulgation a produit plus de 10 CVE notées "high" ou "critical" touchant LiteLLM, LangFlow, Flowise, Windsurf, LangChain-Chatchat, DocsGPT, GPT Researcher, Agent Zero et LettaAI, entre autres. Windsurf (CVE-2026-30615) s'est avéré exploitable en zéro clic via injection de prompt dans des fichiers de configuration locaux. Neuf des onze registries MCP testés ont accepté un paquet malveillant de démonstration sans aucune vérification de sécurité. L'impact est d'autant plus sérieux que la faille n'est pas un bug isolé dans un produit particulier, mais un défaut de conception propagé par le protocole lui-même à toute la chaîne de dépendance. Tout projet ayant fait confiance au SDK officiel a hérité du problème. Carter Rees, VP IA chez Reputation et membre de l'Utah AI Commission, juge que le cadre conceptuel doit changer radicalement : STDIO doit être traité comme un accès shell en production, avec blocage par défaut, liste d'autorisation stricte et sandbox, et non comme un connecteur banal. Kevin Curran, professeur de cybersécurité à l'Ulster University et membre senior de l'IEEE, parle d'un "écart choquant dans la sécurité de l'infrastructure IA fondamentale". Pour les équipes sécurité, la question pratique est immédiate : tout déploiement d'agent IA via STDIO est exposé, quelle que soit la qualité du code applicatif en aval. Anthropic a confirmé que ce comportement est intentionnel et a refusé de modifier le protocole, qualifiant le modèle d'exécution de STDIO de valeur par défaut sécurisée et renvoyant la responsabilité de la sanitisation aux développeurs. OX conteste cette position en soulignant qu'exiger de 200 000 développeurs une sanitisation correcte des entrées est précisément le problème structurel. La tension est techniquement légitime des deux côtés : sanitiser STDIO risque soit de casser le transport, soit de déplacer le vecteur d'attaque d'un niveau. Le protocole MCP a pourtant connu une adoption massive depuis sa création par Anthropic, son adoption par OpenAI en mars 2025 et par Google DeepMind, sa cession à la Linux Foundation en décembre 2025, et 150 millions de téléchargements. La question de la gouvernance de sécurité des standards ouverts d'IA devient ainsi aussi urgente que leur interopérabilité.