Nous avons identifié des failles de sécurité dans le Model Context Protocol.
TL;DR
Le <strong>Model Context Protocol (MCP)</strong> présente de graves problèmes de sécurité en raison de l'absence d'authentification obligatoire. Un rapport publié par VentureBeat a révélé que la mise en œuvre de seulement 10 plugins du MCP offre une probabilité de 92 % d'exploitation. Les recherches de Pynt corroborent cette découverte, indiquant des risques significatifs même avec un seul plugin.
Nous avons identifié des failles de sécurité dans le Model Context Protocol
Le Model Context Protocol (MCP) présente de graves problèmes de sécurité en raison de l'absence d'authentification obligatoire. Un rapport publié par VentureBeat a révélé que la mise en œuvre de seulement 10 plugins du MCP offre une probabilité de 92 % d'exploitation. Les recherches de Pynt corroborent cette découverte, indiquant des risques significatifs même avec un seul plugin.
La principale erreur du MCP a été son lancement sans authentification obligatoire. Des structures d'autorisation ont été introduites seulement six mois après l'utilisation généralisée du protocole. Merritt Baer, directrice de la sécurité de Enkrypt AI, avertit : "Le MCP est lancé avec la même erreur observée dans tous les principaux lancements de protocoles : des normes non sécurisées. Si nous n'implémentons pas l'authentification dès le départ, nous serons confrontés à des violations pendant une décennie."
Trois mois plus tard, la situation s'aggrave. Le Clawdbot, un assistant personnel en IA qui automatise des tâches telles que la gestion des e-mails, fonctionne entièrement sur la base du MCP. Les développeurs qui ont implémenté le Clawdbot sur des serveurs privés virtuels (VPS) sans suivre les directives de sécurité sont désormais exposés à tout le potentiel d'attaque du protocole.
L'expert Itamar Golan avait déjà prévu une telle situation. Après avoir vendu son entreprise, Prompt Security, pour une valeur estimée à 250 millions de dollars, il a récemment averti : "La catastrophe est en route. Des milliers de Clawdbots sont actifs sur des VPS avec des ports ouverts sur Internet et sans authentification. Cela va devenir moche."
Vulnérabilités critiques non corrigées
Les failles de sécurité sont des conséquences directes des choix de conception du MCP. Le CVE-2025-49596, par exemple, permet un accès non authentifié entre l'interface web et le serveur proxy du MCP, permettant des compromissions totales du système. Un autre cas sérieux est le CVE-2025-6514, où une injection de commande dans un proxy OAuth permet le contrôle de systèmes. Le CVE-2025-52882 permet l'accès à des fichiers arbitraires en raison de serveurs WebSocket non authentifiés.
Avec trois vulnérabilités critiques en six mois, la cause profonde est claire : l'authentification a été laissée optionnelle, ce qui a amené les développeurs à l'ignorer.
La surface d'attaque s'élargit
L'analyse de Equixly révèle que 43 % des implémentations du MCP présentent des failles d'injection de commandes, tandis que 30 % permettent des accès non restreints aux URL. Selon l'analyste de Forrester, Jeff Pollard : "Cela sera un moyen efficace d'introduire un nouvel acteur puissant dans votre environnement sans protection." Les serveurs MCP, avec accès shell, peuvent être utilisés pour le mouvement latéral, le vol d'identifiants et le déploiement de ransomware, tout activé par une attaque d'injection de prompt.
Actions recommandées pour les responsables de la sécurité
- Réalisez un inventaire de l'exposition au MCP maintenant. Les outils traditionnels de détection des points de terminaison ne reconnaissent pas les serveurs MCP comme des menaces.
- Traitez l'authentification comme obligatoire. Il est impératif d'implémenter l'authentification lors du déploiement dans les systèmes de production.
- Restreignez l'exposition du réseau. Connectez les serveurs MCP au localhost, sauf si l'accès à distance authentifié est explicitement nécessaire.
- Considérez que des attaques par injection de prompt se produiront. Les serveurs MCP héritent du rayon d'explosion des outils qui les entourent.
- Exigez une approbation humaine pour des actions à haut risque. Une confirmation explicite doit être nécessaire avant que les agents envoient des e-mails ou accèdent à des informations sensibles.
Défis de gouvernance ouverts
Bien que les fournisseurs de sécurité se soient précipités pour monétiser les risques du MCP, de nombreuses entreprises n'ont pas encore adopté les mesures adéquates. L'adoption du Clawdbot a augmenté de manière exponentielle au quatrième trimestre 2025, mais de nombreuses voies de sécurité pour 2026 ne tiennent pas compte des contrôles pour les agents d'IA. L'espace pour les attaquants reste ouvert.
La question est de savoir si les organisations réussiront à garantir leur exposition au MCP avant que quelqu'un ne l'exploite.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
