Admin in server hub tasked with protecting valuable data against hacking attack on computers. African american worker safeguarding data center against unauthorized access and vulnerabilities, camera B

MCP alimente l’IA agentique – et présente de nouveaux risques de sécurité

Lucas Morel

Le protocole de contexte du modèle (MCP) permet aux agents et aux chatbots d’IA de se connecter aux sources de données, aux outils et à d’autres services, mais ils présentent des risques importants pour les entreprises qui les déploient sans avoir en place de garde-corps de sécurité approprié.

Le protocole de contexte du modèle (MCP) a été créé fin 2024 par le meilleur concurrent d’Openai Anthropic. C’était si bon qu’un moyen de fournir un moyen standardisé de connecter des modèles d’IA à diverses sources de données et outils qui l’ont adopté en tant que norme, comme la plupart des autres grands joueurs d’IA et les trois hyperscaleurs.

En quelques mois, MCP a pris feu, avec plusieurs milliers de serveurs MCP maintenant disponibles à partir d’un large éventail de fournisseurs permettant aux assistants de l’IA de se connecter à leurs données et services. Et avec une IA agentique de plus en plus considérée comme l’avenir de celui-ci, MCP – et les protocoles connexes ACP et Agent2Agent – ne fera que se développer dans l’entreprise.

Mais alors que les organisations se précipitant dans l’IA commencent à le découvrir, des innovations comme MCP comportent également des risques importants.

En mai, le fournisseur de gestion du travail Asana a publié un serveur MCP pour permettre aux assistants de l’IA d’accéder au graphique de travail Asana. Bien que le serveur, les assistants d’IA puissent accéder aux données ASANA d’une organisation, générer des rapports et créer et gérer les tâches, par exemple. Un mois plus tard, les chercheurs en sécurité ont trouvé un bogue qui aurait pu permettre aux utilisateurs de voir des données appartenant à d’autres utilisateurs. Ce même mois, Atlassian a également publié un serveur MCP. Les chercheurs en sécurité ont trouvé une vulnérabilité permettant aux attaquants de soumettre des billets de soutien malveillants et de gagner un accès privilégié.

Le risque est si important qu’Owasp a lancé son Top 10 du MCP le même jour que le rapport d’attaque Atlassian a été publié, cependant, cependant, la liste OWASP est toujours vide.

La même semaine, une mise à jour de MCP a été publiée, abordant certaines des vulnérabilités dont les experts en sécurité ont inquiété.

Voici un aperçu approfondi du MCP et de ce que les CISO devraient savoir sur ses risques, ses atténuations et ses solutions émergentes pour mieux sécuriser les serveurs MCP sur lesquels dépendent de plus en plus les agents d’IA de leur organisation.

Qu’est-ce que le protocole de contexte modèle (MCP)?

MCP est une sorte d’API, mais au lieu de permettre à un programme informatique de parler à un autre programme informatique de manière standardisée, il permet à un agent d’IA ou à un chatbot de parler à des bases de données, des outils et d’autres ressources.

Dans le passé, une entreprise qui voulait transmettre des données dans un LLM transformerait ces données en une base de données vectorielle et transmettrait le contexte pertinent à l’IA en ajoutant les informations à une invite. Cela s’appelait RAG, ou récupération de la génération augmentée, et nécessitait une base de données vectorielle, puis une intégration personnalisée dans la logique métier de l’application.

Les serveurs MCP ont tourné cela sur sa tête.

Au lieu de faire plusieurs intégrations, un développeur peut simplement mettre un serveur MCP devant la base de données, et un agent d’IA peut simplement retirer les données dont elle a besoin, quand elle en a besoin, aucune programmation supplémentaire nécessaire. Anthropic a déjà annoncé des serveurs MCP prédéfinis pour Atlassian, CloudFlare, Intercom, Linear, PayPal, Plaid, Sentry, Square, Wokato, Zapier et Invideo. Et c’est pour la version conviviale de Claude. Les développeurs utilisant le code Claude peuvent accéder à n’importe quel serveur MCP n’importe où.

OpenAI a annoncé la prise en charge des connexions MCP Server à CloudFlare⁠, HubSpot⁠, Intercom, PayPal, Plaid, Shopify⁠, Stripe, Square, Twilio, Zapier, et plus à la fin du mai. Mais les développeurs peuvent connecter les modèles d’Openai à n’importe quel serveur MCP n’importe où en utilisant l’API des réponses d’Openai.

Les entreprises peuvent utiliser des serveurs MCP pour exposer leurs propres données à leurs propres processus d’IA, pour exposer leurs propres données aux utilisateurs externes ou pour se connecter à des sources publiques d’informations ou de fonctionnalités.

Tous ces éléments comportent des risques importants pour toutes les parties impliquées, mais la technologie est si utile que de nombreuses entreprises avancent de toute façon.

Et ce ne sont pas seulement les entreprises technologiques. Yageo Group, une entreprise de fabrication, envisage déjà de déployer la technologie. Une partie de cela se fait par des filiales récemment acquises. «Et la société mère dans laquelle je travaille en ce moment envisage d’étendre la gouvernance autour de celle-ci», explique Terrick Taylor, directeur des opérations de sécurité de l’information chez Yageo.

Mais il s’inquiète des implications de la sécurité, y compris des fuites de données, et avec autant d’applications construites sur de nombreux sites différents, il est difficile de suivre. « Très bientôt, mes cheveux vont devenir gris. »

Risques du serveur MCP atténuant

Lorsqu’il s’agit d’utiliser des serveurs MCP, il y a une grande différence entre les développeurs qui l’utilisent pour la productivité personnelle et les entreprises qui les mettent dans des cas d’utilisation de la production.

Derek Ashmore, directeur de transformation d’application chez Asperitas Consulting, suggère que les clients des entreprises ne se précipitent pas sur l’adoption de MCP tant que la technologie n’est plus sûre et que davantage les principaux fournisseurs d’IA soutiennent MCP pour leurs environnements de production.

Un problème est que, bien que les risques MCP puissent être éliminés ou atténués en déployant des serveurs MCP de manière sécurisée, d’autres sont intégrés dans le protocole MCP lui-même. Selon Equixly, la spécification du protocole MCP oblige les identifiants de session dans les URL, ce qui viole les meilleures pratiques de sécurité. MCP manque également de mécanismes de signature de message ou de vérification requis, ce qui permet la falsification des messages.

«Les serveurs MCP rattrapent toujours ce cycle de maturité de la sécurité, ce qui les rend particulièrement vulnérables au cours de cette phase d’adoption», déclare Equixly CTO Alessio della Piazza dans un blog.

Certains de ces problèmes de protocole ont été résolus dans la dernière mise à jour du protocole MCP.

Les serveurs MCP sont désormais classés comme serveurs de ressources OAuth, résolvant certains des problèmes d’authentification qui ont identifié de manière égale. Il existe également une nouvelle exigence d’indicateur de ressources, ce qui pourrait empêcher les attaquants d’obtenir des jetons d’accès.

Le protocole a désormais des en-têtes de version de protocole obligatoires, ce qui contribuera à réduire la confusion sur la version dont le serveur MCP s’exécute.

Ces changements ne résolvent pas tous les problèmes que les chercheurs en sécurité ont identifiés, et ils ne réparent pas instantanément tous les serveurs MCP déjà déployés, mais ils sont un signe que la communauté se déplace dans la bonne direction.

Et, pour les entreprises qui déploient des serveurs MCP et la mise en œuvre de flux d’autorisation, il existe maintenant un nouvel ensemble de meilleures pratiques de sécurité MCP.

Si cela ne suffit pas, Anthropic a également ajouté une page sur les meilleures pratiques du serveur MCP à son propre portail de support, pour les organisations créant de nouveaux serveurs MCP.

Et, pour les organisations qui déploient des serveurs MCP tiers, Cyberark a quelques conseils:

  • Avant d’utiliser un nouveau serveur MCP, vérifiez s’il fait partie des serveurs officiels publiés sur le GHUBUB MCP; Sinon, essayez d’abord de l’utiliser dans un environnement de bac à sable.
  • Assurez-vous d’inclure MCP dans votre modélisation des menaces, vos tests de pénétration et vos exercices en équipe rouge.
  • Lorsque vous installez un serveur MCP local, effectuez une révision manuelle de code pour les anomalies ou les délais. Complétez cela en soumettant la base de code à un modèle en grande langue ou à un outil d’analyse automatisé pour mettre en évidence tous les modèles malveillants cachés.
  • Utilisez un client MCP dont la valeur par défaut est de vous montrer chaque appel d’outil et ses contributions avant de l’approuver.

Comprendre la sécurité MCP sera la clé pour les entreprises à l’avenir, surtout s’ils déploient des agents d’IA de manière significative.

Selon Gartner, MCP émerge comme la norme d’intégration de l’IA prédisant qu’en 2026, 75% des fournisseurs de passerelle API et 50% des fournisseurs IPAAS auront des fonctionnalités MCP.

Les organisations doivent faire attention à la surface d’attaque élargie et aux nouveaux risques de la chaîne d’approvisionnement des serveurs MCP tiers. Cela peut sembler familier aux gestionnaires de cybersécurité. Ce sont tous des problèmes auxquels l’industrie a dû faire face auparavant. Mais les serveurs MCP sont plus qu’une nouvelle version des API, avertit Lori Macvittie, ingénieur distingué et chef évangéliste au bureau des réseaux F5 du CTO. Il s’agit d’un changement de paradigme fondamental, dit-elle, similaire en matière d’impact de la transition du périmètre à la sécurité des applications.

«MCP brise tout», dit-elle. «C’est briser les hypothèses de sécurité de base que nous tenons depuis longtemps.»

La raison? La plupart des fonctionnalités de MPC se trouvent dans la fenêtre de contexte où le serveur MCP communique en langage clair avec les agents d’IA. Cela signifie qu’il y a un potentiel de tromperie et de manipulation. «Quelqu’un peut dire:« Je suis le PDG ». Comment empêchez-vous cela?»

On ne peut pas faire confiance au système pour fonctionner comme prévu car les composants principaux – les agents AI et LLM – ne sont pas déterministes. «Je ne pense pas que quiconque ait encore correctement les choses», explique MacVittie.

Vendeurs de sécurité MCP

Cela ne veut pas dire qu’il n’y a pas déjà de fournisseurs qui essaient de vendre la sécurité MCP. En voici quelques-uns:

  • Sécurité de barre arrière: base de données consultable de milliers de serveurs MCP avec des notes de risque, un outil d’auto-évaluation des risques MCP gratuit et des services commerciaux pour gérer les risques MCP.
  • Sécurité Lasso: passerelle MCP open-source qui permet la gestion de la configuration et du cycle de vie des serveurs MCP et désinfectue des informations sensibles dans les messages MCP.
  • Invariant Labs: Leur MCP-SCAN est un scanner open source qui effectue une analyse statique des serveurs MCP et fait une surveillance en temps réel pour détecter les attaques d’empoisonnement à l’outil, les tractions de tapis et les attaques d’injection rapides.
  • Sécurité des piliers: Services de protection des serveurs MCP, y compris la découverte automatisée, les évaluations en équipe rouge et la protection d’exécution.
  • PALO Alto Networks: leur outil Waas Cortex Cloud propose la validation du protocole MCP et détecte les attaques de couches API contre les points de terminaison MCP.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft