Protocole MCP : le liant rêvé des IA… et le cauchemar des experts en sécurité
L’IA s’invite partout. Entreprises, développeurs, startups et même les bureaux de votre cousin geek : partout où une application d’intelligence artificielle veut croquer à pleines dents dans vos données internes, MCP, alias Model Context Protocol, fait office de passe-partout.
Un vrai succès qui donne le tournis. Sauf que cette clef numérique universelle s’est transformée en fromage suisse… avec des trous de la taille du cloud dans sa sécurité !
Comment MCP est devenu incontournable chez les géants de l’IA
Quand Anthropic, étoile montante de l’IA, a lancé MCP en 2024, c’était un peu Noël pour tous ceux rêvant d’un standard unifié : un protocole qui relie assistants IA, bases de données, APIs et services cloud en quelques clics.
La promesse ? La fin de la jungle des interconnexions maison.
Résultat ? En moins d’un an, Google, Microsoft et les poids lourds du Fortune 500 en ont fait leur meilleur outil pour donner des super-pouvoirs à leurs IA.
Mais attention : qui dit accès facilité dit aussi risques démultipliés. Plus de 16 000 serveurs MCP opèrent déjà en entreprise, et la majorité sont bien plus ouverts qu’un calendrier de l’avent le 25 décembre.
MCP : une simplicité qui coûte cher… très cher
Au lancement, priorité était donnée à la fluidité d’adoption. Exit les vérifications barbantes à chaque requête, adieu les permissions trop restrictives ! Résultat : l’authentification était op-tion-nelle.
Oui, vous avez bien lu.
Les contrôles d’accès ? Bof. Ils ont débarqué six mois après le lancement, alors que plusieurs milliers de serveurs tournaient déjà joyeusement sans aucune authentification sérieuse.
L’avis de Merritt Baer, experte en sécurité chez Enkrypt AI, est sans appel : « MCP reproduit la même erreur que bon nombre de protocoles historiques : des paramètres par défaut beaucoup trop laxistes. » Les pros du hacking n’en demandaient pas tant.
Les risques explosent (non, ce n’est pas exagéré)
L’étude récente de Pynt sur 281 serveurs MCP est édifiante :
- Un seul plugin ? 9 % de chance d’attaque
- Trois plugins ? Au-dessus de 50 %
- Dix plugins ? 92 % de probabilité d’exploitation
Dans ce casino dont vous êtes parfois le dindon, plus on branche d’outils, plus la sécurité part en vacances.
72 % des serveurs auscultés exposent des fonctions ultra-sensibles : exécution de code, accès à des fichiers sensibles, API privilégiées. Côté données, 13 % attrapent tout ce qui tombe du web scraping, de Slack ou des emails… sans vraiment trier. Le combo infernal ?
Quand à la fois le code s’exécute à distance et que des données non vérifiées circulent en toute liberté. L’exploitation de failles critiques devient alors un jeu d’enfant (mais dangereux, comme quand un enfant attrape un couteau). Injecter des commandes malveillantes, voler des informations ou saboter l’environnement IA ? C’est open bar !
Idan Dardikman, directeur technique de Koi Security, précise que « les serveurs MCP ne sont pas des paquets npm comme les autres. Ils sont pensés pour une autonomie totale des IA… avec des privilèges qui feraient pâlir la NSA. »
Si même la NSA tremble, c’est qu’il y a de quoi !
Des vulnérabilités très concrètes et déjà exploitées
Ce ne sont pas seulement des théories pour occuper les afterworks des cybersécuristes. MCP-remote, un plugin MCP populaire (plus de 500 000 téléchargements), embarque une vilaine faille d’exécution de code à distance (doux nom de code : CVE-2025-6514).
Parmi les perles découvertes : un paquet npm, postmark-mcp, a carrément détourné vos emails vers un domaine externe sans que vous ne voyiez passer la moindre alerte. Il y a pire : certains serveurs malveillants injectent directement des instructions manipulant les IA sans la moindre interaction manuelle. Faites bosser votre assistant IA, et… surprise ! Il obéit aux pirates.
Des experts tels que Trail of Bits ou Oligo Security ont repéré, entre autres, une faille dans MCP Inspector d’Anthropic permettant d’exécuter du code à distance via navigateur. Oui, le MCP de votre IA préféré peut devenir le cheval de Troie idéal d’un script kiddie un peu talentueux.
Pourquoi la faille MCP change la donne de la cybersécurité
Les serveurs MCP sont partout, et chaque plugin ou extension multiplie le nombre de portes d’entrée pour les attaquants. Pire, l’arrivée fulgurante du protocole a pris de vitesse les bonnes pratiques de la sécurité. Autrement dit, on a d’abord roulé à 200 km/h avant d’installer les ceintures.
Une enquête Gartner rappelle que même les plus grandes entreprises, malgré une armée de 45 outils de cybersécurité différents, ne contrôlent efficacement QUE 44 % des identités machines (coucou les bots !).
Avec MCP, la moitié des accès IA leur échappe totalement. C’est comme organiser un festival avant d’avoir installé les barrières de sécurité.
MCP, cybersécurité et IA : le cocktail explosif que les entreprises doivent apprendre à digérer
Certains diront qu’il faut jeter MCP et passer au plan B. Mais avec plus de 16 000 serveurs en circulation, c’est irréaliste. Voici la recette de survie :
1. Implémenter les bons standards d’authentification AUJOURD’HUI
Déployer OAuth 2.1 et OpenID Connect sur chaque serveur MCP, et centraliser la gestion de ces droits. Brillant, car cela élimine près de la moitié des failles identifiées.
2. Sortez la loupe sur les plugins
Limiter le nombre de plugins branchés, c’est comme limiter le nombre de portes dans la maison. Moins il y en a, moins les intrus ont de chance de passer. Les audits, modèles de menaces et exercices de red-teaming doivent faire partie des obligations régulières, et pas seulement des corvées de fin d’année.
3. Préparez-vous à dompter l’IA
La cybersécurité de demain ne sera plus seulement une question de pare-feu ou de scans antivirus, mais de gestion fine des risques propres à l’IA. Classifiez les risques liés à MCP comme une catégorie à part entière dans vos politiques internes. Le fait que la moitié des identités IA s’évaporent dans la nature n’est plus acceptable à l’ère où vos machines prennent des décisions critiques tous les jours.
MCP : gruyère de la cybersécurité ou nouveau standard à dompter ?
Comme le débat sans fin entre le Gruyère suisse (pas de trous) et son cousin français, la vraie question avec MCP, c’est surtout : peut-on vraiment se permettre de sacrifier la sécurité au nom de l’innovation ? Un standard adopté à vitesse grand V, conçu dans la précipitation, c’est comme acheter une Tesla sans frein à main. Vertigineux, mais un brin risqué.
Les professionnels de l’IA et de la sécurité n’auront jamais eu autant de points communs qu’en 2025 : ils courent tous après un MCP plus sûr, plus transparent, plus hermétique aux intrusions. Et dans cette course, mieux vaut ne pas finir comme le fameux fromage à trous… ou plutôt comme un pain surprise laissé trop longtemps ouvert en soirée !
Vous développez ou administrez une solution exploitant MCP ?
- Vérifiez vos configurations à la loupe
- Désactivez tout ce qui n’est pas vital
- Mettez à jour vos plugins régulièrement
- Adoptez l’authentification forte et la gestion centralisée des privilèges
Et si votre IA commence à envoyer des invitations automatiques à des hackers russes, il est sans doute temps de faire appel à un pro.
Enfin, n’attendez pas le prochain ransom-note pour agir ! La cybersécurité, c’est la vraie intelligence, qu’on se le dise.
Sources : VentureBeat, Anthropic
Source : Le protocole MCP : la faille XXL de la cybersécurité des IA que (presque) tout le monde utilise