Un agent IA autonome a perc\u00e9 les d\u00e9fenses de Lilli, la plateforme d’intelligence artificielle interne de McKinsey, c’est arriv\u00e9 en \u00e0 peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un acc\u00e8s en \u00e9criture \u00e0 l’ensemble de la base de donn\u00e9es. Le tout sans aucun identifiant.<\/p>\n
C’est la startup de s\u00e9curit\u00e9 CodeWall qui a men\u00e9 l’attaque, dans le cadre d’un test de p\u00e9n\u00e9tration. Son agent IA a commenc\u00e9 par scanner la documentation API de Lilli, qui \u00e9tait expos\u00e9e publiquement. Sur les 200 points d’acc\u00e8s r\u00e9pertori\u00e9s, 22 ne demandaient aucune authentification.<\/p>\n
L’un d’eux, qui servait \u00e0 enregistrer les requ\u00eates de recherche des utilisateurs, concat\u00e9nait les noms de champs JSON directement dans les requ\u00eates SQL sans aucun filtrage. Une injection SQL classique, la faille la plus document\u00e9e du web depuis vingt ans.<\/p>\n
Les scanners de s\u00e9curit\u00e9 classiques comme OWASP ZAP \u00e9taient pass\u00e9s \u00e0 c\u00f4t\u00e9, parce que les valeurs des param\u00e8tres, elles, \u00e9taient bien prot\u00e9g\u00e9es. Mais pas les noms de champs.<\/p>\n
Il a fallu seulement une quinzaine d’it\u00e9rations \u00e0 l’aveugle sur les messages d’erreur de la base, pour cartographier toute sa structure interne. R\u00e9sultat : 46,5 millions de conversations en clair couvrant la strat\u00e9gie, les fusions-acquisitions et les engagements clients de McKinsey, mais aussi 728 000 fichiers (192 000 PDF, 93 000 tableurs, 93 000 pr\u00e9sentations), 57 000 comptes utilisateurs, 384 000 assistants IA et 3,68 millions de fragments de documents RAG avec les chemins de stockage S3.<\/p>\n
Le pire, c’est que les 95 prompts syst\u00e8me qui contr\u00f4lent le comportement de Lilli \u00e9taient accessibles en \u00e9criture. Une simple requ\u00eate SQL UPDATE suffisait pour empoisonner les r\u00e9ponses du chatbot \u00e0 l’ensemble des 40 000 consultants qui l’utilisent, sans laisser de trace.<\/p>\n
CodeWall a divulgu\u00e9 la faille le 1er mars, et McKinsey a r\u00e9agi vite : tous les points d’acc\u00e8s non authentifi\u00e9s ont \u00e9t\u00e9 ferm\u00e9s, l’environnement de d\u00e9veloppement mis hors ligne et la documentation API retir\u00e9e, le tout en une journ\u00e9e.<\/p>\n
Histoire de rassurer tout le monde, le c\u00e9l\u00e8bre cabinet de conseil promet qu’aucune donn\u00e9e client n’a \u00e9t\u00e9 consult\u00e9e par des personnes non autoris\u00e9es. Sauf que l’adoption de Lilli dans l’entreprise est massive, puisque plus de 70% des employ\u00e9s de McKinsey l’utilisent au quotidien, avec quand m\u00eame plus de 500 000 requ\u00eates par mois, et une faille en place depuis… 2023 !<\/p>\n
Quoi qu’il en soit, une injection SQL sur une plateforme qui tourne depuis deux ans et demi chez un cabinet qui vend du conseil en transformation num\u00e9rique \u00e0, \u00e0 peu pr\u00e8s, la Terre enti\u00e8re, c’est quand m\u00eame plus que cocasse.<\/p>\n