Le groupe TeamPCP revendique sur un forum cybercriminel la mainmise sur 5 Go d'archives internes de Mistral AI. Les attaquants réclament 25 000 dollars, soit environ 21 420 euros, et promettent une diffusion gratuite sous une semaine sans acheteur. Mistral confirme une intrusion temporaire et en relativise la portée.

Un porte-parole de la startup française reconnaît une compromission temporaire d'un système de gestion de code le 12 mai, mais affirme qu'aucune donnée client, aucun service hébergé ni aucun environnement de recherche n'ont été touchés - ©PhotoGranary02 / Shutterstock
Un porte-parole de la startup française reconnaît une compromission temporaire d'un système de gestion de code le 12 mai, mais affirme qu'aucune donnée client, aucun service hébergé ni aucun environnement de recherche n'ont été touchés - ©PhotoGranary02 / Shutterstock

La souveraineté de Mistral AI a pris du vent dans les voiles. TeamPCP vient de faire l'annonce sur un forum cybercriminel anglophone. Les hackers disent détenir un butin de près de 450 dépôts Git privés attribués aux organisations « mistralai » et « mistral-solutions ». Parmi les noms d'archives visibles dans la revendication, on retrouve mistral-inference-internal.tar.gz, mistral-finetune-internal.tar.gz, chatbot-security-evaluation.tar.gz, devstral-cloud.tar.gz, kyc-doc-agent.tar.gz ou encore dashboard.tar.gz.

Contacté par nos confrères Numerama et Le Parisien, un porte-parole de la startup française reconnaît une compromission temporaire d'un système de gestion de code le 12 mai, mais affirme qu'aucune donnée client, aucun service hébergé ni aucun environnement de recherche n'ont été touchés. Selon Mistral, les attaquants n'auraient accédé qu'à des dépôts non critiques.

Un dépôt "pfizer-rfp-2025" figure dans la liste, aux côtés d'outils finance, santé et juridique

Les fichiers revendiqués couvrent bien d'autres contenus que l'entraînement et l'inférence des modèles. On y trouve notamment le dépôt pfizer-rfp-2025.tar.gz, un intitulé qui renvoie à un appel d'offres (Request for Proposal) impliquant le laboratoire pharmaceutique américain. Aucun élément ne suggère une compromission directe de Pfizer. Pour autant, la présence d'un tel intitulé suggère l'exposition possible de documents commerciaux liés à un client grand compte.

Autres archives notables dans la liste, mistral-finance-agent.tar.gz, cma-customer-care-internal.tar.gz, mistral-lawyer-internal.tar.gz. Selon le porte-parole de Mistral, les attaquants ont transmis un extrait d'un dépôt présenté comme compromis, avec du code backend lié à la gestion des clients, aux abonnements API, aux métriques de facturation et aux fonctionnalités d'export de données.

Le butin se divise en trois types de contenus. D'abord, le cœur technique, avec inférence, fine-tuning, benchmarks et expérimentations. Puis des outils métiers ancrés dans des verticales spécifiques, finance, santé, juridique, conformité KYC. Enfin, des projets clients nommément identifiables.

Le chat Mistral
Le chat Mistral
  • Peut tourner en local selon votre configuration
  • Open-source
  • API peu coûteuse
Télécharger

Un malware certifié SLSA niveau 3, et qui survit à npm uninstall

Dans son avis de sécurité, Mistral relie l'incident à l'attaque dite « TanStack », attribuée par les chercheurs à TeamPCP et à son ver « Mini Shai-Hulud ». Côté SDK contaminés, Mistral cite trois versions sur @mistralai/mistralai (2.2.2, 2.2.3, 2.2.4), trois sur les variantes Azure et GCP en 1.7.1, 1.7.2 et 1.7.3, plus la release mistralai==2.4.6 sur PyPi. La fenêtre d'exposition npm n'a duré que 188 minutes, entre 22h45 UTC le 11 mai et 01h53 UTC le 12 mai.

D'abord, les paquets infectés portaient un certificat de provenance SLSA de niveau 3 valide, du jamais-vu jusqu'ici sur npm. TeamPCP a obtenu cette signature après avoir détourné des jetons OIDC depuis les pipelines GitHub Actions de TanStack, puis republié les paquets sous l'identité légitime des mainteneurs. Autrement dit, un binaire vérolé est passé avec la signature cryptographique censée garantir son origine. Ensuite, TeamPCP loge sa persistance dans les hooks de Claude Code (~/.claude/) et dans les tâches d'autoexécution VS Code (.vscode/tasks.json). Une simple commande npm uninstall ne suffit pas à déloger le code. Tant que ces fichiers de hook traînent sur le disque, le payload redémarre à chaque ouverture d'un outil de développement.

Côté charge utile, mistralai==2.4.6 télécharge transformers.pyz depuis l'IP 83.142.209.194 vers /tmp/, puis lance un processus détaché en arrière-plan sur Linux. Les attaquants ont choisi ce nom de fichier pour imiter la bibliothèque Transformers de Hugging Face, omniprésente dans les environnements IA.

le code malveillant cherche des jetons GitHub, npm, GitLab et CircleCI, des identifiants cloud AWS, GCP et Azure, des secrets Kubernetes et Vault, et désormais les coffres-forts 1Password et Bitwarden.

TeamPCP raconte à French Breaches comment ses opérateurs ont travaillé sous pression. « Les tokens que nous avons récupérés dans notre campagne ont propagé un malware dans leurs packages. Nous avons dû nous dépêcher de cloner les dépôts avant qu'ils ne soient alertés et que les clés soient révoquées », rapportent les hackers.

25 000 dollars, c'est peu au regard de la valorisation de Mistral, plusieurs milliards d'euros levés depuis 2023. La semaine annoncée par TeamPCP expire autour du 19 ou 20 mai 2026.

Source : Le Parisien

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services