Le Model Context Protocol relie les intelligences artificielles aux données internes d’une entreprise. Cette connexion facilite aussi l’accès aux serveurs, bases et applications, mais elle augmente fortement les risques d’attaques ciblées.
On vous en avait parlé à l'époque de son lancement sur Clubic. Mais si ! En 2024, Anthropic a lancé le protocole MCP pour offrir aux IA une interface unique capable d’accéder à des bases de données, API et services cloud. La norme a rapidement conquis Google, Microsoft, et des centaines d’autres entreprises. Plus de 16 000 serveurs MCP tournent aujourd’hui dans les entreprises du Fortune 500. Pourtant, ce carton file un mauvais coton. La même connectivité qui permit l’essor du protocole ouvre aussi la voie à des vulnérabilités graves. C'était trop beau.
Un protocole construit sans sécurité en tête
MCP privilégie la fluidité d’intégration. Ses règles initiales rendent l’authentification facultative et les contrôles d’accès souvent insuffisants. Ces cadres sont apparus six mois après le lancement, en mars 2025, alors que plusieurs milliers de serveurs tournaient déjà sans authentification.
Merritt Baer, responsable sécurité chez Enkrypt AI, explique : « MCP reproduit la même erreur que beaucoup de protocoles majeurs : des paramètres par défaut non sécurisés ». Sans authentification et principe du moindre privilège dès le départ, il sera nécessaire de corriger les failles pendant des années. Ce modèle cause un effet exponentiel des risques.
Des risques qui s’amplifient à chaque connexion
L’étude de Pynt sur 281 serveurs MCP montre que le risque d’exploitation n’augmente pas linéairement, il explose. Un plugin provoque 9 % de chance d’attaque, trois dépassent 50 %, dix atteignent 92 %.
72 % de ces serveurs exposent des fonctions sensibles : exécution de code, accès aux fichiers, API privilégiées. 13 % acceptent des données non vérifiées provenant du web scraping, Slack ou emails. Dans 9% des cas, ces deux risques conjoints exposent des failles critiques : des injections, commandes malveillantes ou exfiltration de données, souvent sans autorisation.
Idan Dardikman, directeur technique chez Koi Security, rappelle que « les serveurs MCP ne sont pas des paquets classiques npm. Ils sont conçus pour un usage autonome par les IA, avec des privilèges aussi étendus qu’elles ».
Des failles réelles, pas théoriques
Plus de 500 000 téléchargements concernent MCP-remote. Ce plugin souffre d’une vulnérabilité critique d’exécution de code à distance (CVE-2025-6514). NPM postmark-mcp a été infecté par une ligne de code détournant tout email vers un domaine externe, sans alerte possible.
Les attaques d'un des spécialistes cyber Trail of Bits montrent que des serveurs malveillants peuvent injecter des messages pour manipuler les IA sans interaction explicite. Oligo Security expose e son côtéune faille critique dans MCP Inspector d’Anthropic, qui permet l’exécution de code à distance via navigateur. Ces scénarios sont actuellement exploités.
Ce qu’il faut faire maintenant
Les équipes sécurité doivent d’abord déployer OAuth 2.1 et OpenID Connect sur chaque serveur MCP, tout en centralisant leur gestion. Ces mesures diminuent de 48 % les vulnérabilités identifiées.
Il faut aussi limiter les plugins aux seuls indispensables. Des audits réguliers, modélisation des menaces, surveillance continue et exercices de red-teaming doivent rentrer dans une routine de cybersécurité, pas comme des tâches exceptionnelles.
Enfin, la cybersécurité doit intégrer les risques liés à l’IA comme une catégorie propre à part entière. L'enquête Gartner rappelle que les organisations déploient en moyenne 45 outils cyber mais ne gèrent efficacement que 44 % des identités machines. La moitié des identités reste invisible, un danger aggravé par MCP.
Source : VentureBeat, Anthropic
