Deux heures. C’est le temps qu’il a fallu à un agent d’intelligence artificielle pour s’introduire dans Lilli, la plateforme IA interne de McKinsey, et obtenir un accès complet en lecture et en écriture à sa base de données de production. Le butin potentiel : 46,5 millions de messages de consultants discutant de fusions-acquisitions, de stratégies clients et de données financières confidentielles.
L’attaquant n’était pas un groupe de pirates étatiques ni un collectif de hackers chevronnés. C’était un programme autonome développé par CodeWall, une startup de sécurité offensive, qui a conduit cette opération sans identifiants, sans connaissance préalable du système et sans intervention humaine. Le plus troublant dans l’affaire : la faille exploitée est une injection SQL, une vulnérabilité connue depuis les années 1990.
43 000 consultants, une seule porte mal fermée
Lancée en juillet 2023, Lilli est le cerveau numérique de McKinsey. La plateforme tire son nom de la première femme recrutée comme professionnelle par le cabinet en 1945. Selon McKinsey, 72 % de ses employés, soit plus de 40 000 personnes, l’utilisent au quotidien pour analyser des documents, interroger des décennies de recherche interne et traiter plus de 500 000 requêtes par mois.
L’agent de CodeWall a commencé par cartographier la surface d’attaque. Il a trouvé la documentation de l’API exposée publiquement, avec plus de 200 points d’accès détaillés. Vingt-deux d’entre eux ne nécessitaient aucune authentification. L’un de ces points permettait d’écrire des requêtes utilisateurs dans la base de données. Les valeurs étaient correctement protégées, mais les noms des champs JSON étaient directement concaténés dans les requêtes SQL, un vecteur d’attaque si inhabituel que les scanners de sécurité standard, y compris OWASP ZAP, ne l’ont pas détecté.
En quinze itérations successives, l’agent a extrait de plus en plus d’informations des messages d’erreur jusqu’à ce que des données de production réelles commencent à remonter. D’après le rapport technique publié par CodeWall, la chaîne de raisonnement de l’agent a affiché « WOW! » quand le premier identifiant d’employé réel est apparu, puis « This is devastating » quand l’ampleur de l’accès est devenue claire.
46,5 millions de conversations à portée de clic
Ce que l’agent a pu atteindre dépasse de loin un simple accès à une table de données. Selon CodeWall : 46,5 millions de messages de chat en clair, portant sur des stratégies d’entreprise, des engagements clients et des activités de fusions-acquisitions. À cela s’ajoutent 728 000 fichiers (192 000 PDF, 93 000 tableurs Excel, 93 000 présentations PowerPoint), 57 000 comptes utilisateurs et 3,68 millions de fragments de documents alimentant le système de recherche augmentée (RAG) de Lilli, le corpus de recherches, méthodologies et cadres propriétaires que McKinsey a accumulés pendant des décennies.
L’analyste indépendant en cybersécurité Edward Kiledjian apporte toutefois une nuance importante dans son analyse publiée le 10 mars. Selon lui, CodeWall mélange trois catégories distinctes : ce qui était théoriquement accessible, ce qui a été réellement consulté et ce qui a été vérifié comme exfiltré. Le blog de la startup met l’accent sur l’accessibilité, tandis que la déclaration de McKinsey porte sur les accès effectivement constatés. Les deux peuvent être vrais simultanément, mais la distinction est cruciale.
Empoisonner l’IA sans laisser de traces
La découverte la plus alarmante concerne les 95 instructions système (system prompts) qui contrôlent le comportement de Lilli. Ces instructions, qui définissent comment l’IA répond aux questions, quelles barrières de sécurité elle respecte et comment elle cite ses sources, étaient stockées dans la même base de données. Avec un accès en écriture, un attaquant pouvait les réécrire silencieusement. Pas besoin de déploiement, pas de modification de code, juste une commande UPDATE dans un seul appel HTTP.
Les conséquences potentielles pour les 43 000 consultants qui se fient aux réponses de Lilli sont vertigineuses. Un modèle financier subtilement faussé, une recommandation stratégique orientée, une exfiltration de données confidentielles intégrée dans les réponses de l’IA que les utilisateurs copieraient ensuite dans des documents destinés aux clients. Et personne ne s’en apercevrait, car une instruction modifiée ne laisse pas les traces habituelles d’une intrusion : pas de fichier altéré, pas de processus suspect, juste une IA qui se met à répondre différemment.
CodeWall résume la situation en une phrase : « Les instructions IA sont les nouveaux actifs les plus précieux. » Les entreprises ont passé des décennies à sécuriser leur code, leurs serveurs et leurs chaînes d’approvisionnement logicielles. Mais la couche d’instructions qui gouverne le comportement des systèmes d’IA reste un angle mort que presque personne ne traite comme une cible prioritaire.
McKinsey a colmaté la brèche en un jour
L’agent de CodeWall a identifié la faille le 28 février 2026. La divulgation complète a été envoyée à l’équipe de sécurité de McKinsey le 1er mars. Dès le lendemain, le cabinet avait corrigé tous les points d’accès non authentifiés, mis l’environnement de développement hors ligne et bloqué la documentation publique de l’API.
Un porte-parole de McKinsey a déclaré à The Register que les problèmes avaient été résolus dans les heures suivant leur signalement. « Notre enquête, menée avec le soutien d’un cabinet d’expertise judiciaire de premier plan, n’a identifié aucune preuve que des données clients ou des informations confidentielles aient été consultées par ce chercheur ou par un tiers non autorisé », a-t-il ajouté. Le cabinet a insisté sur la robustesse de ses systèmes de cybersécurité et la priorité absolue qu’il accorde à la protection des données confiées par ses clients.
Quand une faille des années 90 rencontre l’ère de l’IA
L’ironie de cette affaire tient en une contradiction. L’injection SQL est « l’une des plus anciennes catégories de bugs connues », comme le reconnaît CodeWall dans son rapport. Cette classe de vulnérabilité est documentée depuis les années 1990 et figure en bonne place dans tous les manuels de sécurité informatique. Qu’elle ait survécu deux ans dans un système de production de McKinsey sans être détectée par les scanners conventionnels soulève des questions sérieuses. Le vecteur d’attaque ciblait les noms de champs JSON plutôt que les valeurs d’entrée, ce qui explique pourquoi les outils standard sont passés à côté, comme le souligne Kiledjian.
Ce qui est véritablement nouveau, ce sont les conséquences. Parce que les instructions, les données de recherche augmentée et les configurations de modèles cohabitent dans les mêmes bases de données que le reste, une vulnérabilité classique devient un levier capable de modifier silencieusement le comportement d’un système d’IA pour des milliers d’utilisateurs.
Le PDG de CodeWall, Paul Price, a confirmé à The Register que le processus avait été « entièrement autonome, de la recherche de cible à l’analyse, l’attaque et le rapport ». Selon lui, les pirates utiliseront la même technologie pour attaquer de manière indiscriminée, avec des objectifs comme le chantage financier ou le rançongiciel. Kiledjian tempère cependant : si la vulnérabilité identifiée est probablement sérieuse, le billet de blog surestime ce qui a été réellement démontré et brouille la frontière entre accès théorique et exfiltration prouvée.
La sécurité de l’IA, prochain champ de bataille
Cette affaire dépasse le cas McKinsey. Toutes les entreprises qui déploient des plateformes IA internes, des banques aux cabinets d’avocats en passant par les administrations, sont confrontées au même défi : les instructions qui gouvernent leurs systèmes d’IA sont stockées dans des bases de données, transitent par des API et sont mises en cache dans des fichiers de configuration. Elles disposent rarement de contrôles d’accès dédiés, d’historique de versions ou de surveillance d’intégrité.
Le prochain sommet MCP Dev Summit, qui se tiendra les 2 et 3 avril à New York sous la bannière de la Linux Foundation, consacrera plusieurs sessions à la sécurité des agents IA autonomes. Entre-temps, CodeWall poursuit sa phase de prévisualisation en recherchant des organisations partenaires pour tester sa plateforme de sécurité offensive. L’épisode McKinsey est aussi, il faut le dire, une carte de visite spectaculaire.
