Le Model Context Protocol (MCP), standard ouvert développé par Anthropic pour connecter les assistants IA à des outils externes, devient une cible privilégiée des cyberattaquants. Des chercheurs de Kaspersky ont démontré comment ce protocole, conçu pour fluidifier les intégrations, expose les entreprises à des risques majeurs d’exfiltration de données et de compromission des systèmes. Depuis juin 2025, plusieurs incidents critiques ont révélé des failles exploitées via des serveurs MCP mal configurés ou malveillants, mettant en lumière l’urgence de sécuriser ces infrastructures émergentes.
À retenir
- Le MCP (Model Context Protocol), lancé en novembre 2024 par Anthropic, permet aux assistants IA comme Claude ou Cursor d’interagir avec des outils externes via des commandes en langage naturel.
- Des chercheurs de Kaspersky ont identifié quatre techniques d’attaque exploitant le MCP : confusion de noms, empoisonnement d’outils, ombrage MCP et scénarios de rug pull.
- Un proof-of-concept nommé devtools-assistant (package PyPI) a démontré l’exfiltration de clés SSH, jetons API et configurations cloud via des requêtes POST déguisées en trafic GitHub.
- En 2025, des vulnérabilités critiques ont été révélées :
- CVE-2025-49596 (CVSS 9.4/10) dans MCP Inspector, permettant une exécution de code à distance (RCE).
- Failles d’injection de prompt chez GitHub et Asana, exposant des données clients.
- 7 000 serveurs MCP (50 % du total) mal configurés et accessibles sur le web.
- Les mesures de protection recommandées incluent :
- L’isolation des serveurs MCP dans des environnements conteneurisés.
- La surveillance des interactions prompt-réponse pour détecter les comportements anormaux.
- L’application du principe du moindre privilège et des audits réguliers.
Le MCP, un protocole prometteur devenu terrain de jeu pour les cybercriminels
Introduit en novembre 2024 par Anthropic, le Model Context Protocol (MCP) se présente comme un standard ouvert pour connecter les assistants IA à des outils tiers. Fonctionnant selon une architecture client-serveur, il permet à des applications comme Claude ou Cursor d’exécuter des commandes en langage naturel via des plug‑ins externes. Pourtant, cette simplicité d’intégration cache des risques majeurs : en automatisant les échanges entre IA et systèmes, le MCP crée une surface d’attaque étendue, exploitable à plusieurs niveaux.
Un protocole conçu pour l’efficacité, détourné pour la cybersurveillance
Le MCP repose sur un modèle de confiance implicite : les assistants IA supposent que les serveurs MCP auxquels ils se connectent sont légitimes. Les chercheurs de Kaspersky ont identifié quatre méthodes pour exploiter cette confiance :
- La confusion de noms : des attaquants enregistrent des serveurs aux noms proches de ceux de serveurs officiels (ex. : github-mcp-api au lieu de github-mcp-official). Les requêtes des assistants IA sont alors redirigées vers des points de terminaison malveillants.
- L’empoisonnement d’outils (Tool Poisoning) : des commandes anodines en apparence (comme
add numbers
) cachent des instructions malveillantes, commentcat ~/.ssh/id_rsa
pour voler des clés SSH. - L’ombrage MCP (MCP Shadowing) : dans des environnements multi‑serveurs, les définitions d’outils sont modifiées pour rediriger les appels vers des logiques malveillantes, sans alerter l’utilisateur.
- Les scénarios de rug pull : des serveurs légitimes établissent une relation de confiance avant d’être remplacés par des versions piégées, mises à jour automatiquement par les assistants IA.
Un proof-of-concept révélateur : devtools‑assistant, le cheval de Troie des développeurs
Pour démontrer la vulnérabilité du MCP, Kaspersky a créé devtools‑assistant, un package Python publié sur PyPI sous couvert d’un outil d’analyse de projet. Une fois installé via pip et intégré à un client IA, ce serveur MCP fonctionnait normalement en apparence, tout en exécutant en arrière‑plan une collecte systématique de données sensibles :
- Ciblage : fichiers
.env, clés SSH (id_rsa), configurations cloud (AWS/GCP), jetons API, chaînes de connexion aux bases de données et magasins de justificatifs Windows. - Méthode : les 100 premiers Ko de chaque fichier cible étaient capturés, mis en cache pendant huit heures, puis exfiltrés via des requêtes POST déguisées en trafic GitHub. Les données étaient encodées en Base64 et envoyées vers des serveurs contrôlés par l’attaquant.
- Discrétion : le serveur masquait les données sensibles dans l’interface utilisateur et limitait le débit pour éviter les détections.
Ce scénario illustre comment le MCP peut être détourné pour compromettre des environnements de développement sans déclencher d’alerte, en exploitant la confiance accordée aux outils tiers.
2025, l’année noire des vulnérabilités MCP : incidents et failles critiques
Depuis le début de l’année, plusieurs incidents ont exposé les lacunes de sécurité du MCP, révélant une course entre l’adoption du protocole et son exploitation par des acteurs malveillants. Les entreprises et les projets open source sont particulièrement vulnérables, avec des conséquences allant du vol de données à la prise de contrôle de systèmes.
Des serveurs MCP exposés et des attaques en série
Une étude menée en juin 2025 a révélé que 7 000 serveurs MCP — soit la moitié de ceux déployés — étaient accessibles publiquement sans protection adéquate. Parmi les incidents marquants :
- 19 juin 2025 : des chercheurs ont alerté sur des attaques ciblant l’agent IA d’Atlassian via Jira Service Management (JSM). Une faille d’injection de prompt permettait l’exécution de code à distance (RCE).
- 18 juin 2025 : Asana a dû suspendre temporairement son serveur MCP après la découverte d’une fuite de données permettant à des utilisateurs d’accéder aux informations d’autres organisations. La société a reconnu que la fonctionnalité MCP exposait ses clients à des risques de divulgation non autorisée.
- 26 mai 2025 : une vulnérabilité dans le serveur MCP officiel de GitHub a permis aux assistants de codage IA de lire et modifier des dépôts sans autorisation, via une injection de prompt non corrigée.
CVE-2025-49596 : la faille qui a tout changé
En juillet 2025, la découverte de la vulnérabilité CVE-2025-49596 (notée 9.4/10 sur l’échelle CVSS) dans MCP Inspector, un outil d’Anthropic, a marqué un tournant. Cette faille permettait une exécution de code à distance (RCE) et un accès complet aux hôtes, exposant une nouvelle classe d’attaques basées sur le navigateur contre les outils de développement IA. Selon Oligo Security, cette vulnérabilité est la première RCE critique identifiée dans l’écosystème MCP, prouvant que les agents IA peuvent devenir des vecteurs d’attaque aussi puissants que des logiciels traditionnels.
Parallèlement, Trend Micro a révélé une faille d’injection SQL non corrigée dans le serveur SQLite MCP d’Anthropic. Exploitable pour semer des prompts malveillants, elle permettait d’exfiltrer des données et de prendre le contrôle des flux de travail des agents IA. Ces incidents soulignent l’urgence de renforcer les audits de sécurité autour des intégrations MCP, alors que leur adoption s’accélère.
Sécuriser le MCP : stratégies de défense et bonnes pratiques
Face à ces menaces, les entreprises et les développeurs doivent adopter une approche proactive pour sécuriser leurs intégrations MCP. Les recommandations des experts en cybersécurité s’articulent autour de trois axes : la prévention, la surveillance et la réponse aux incidents.
Isoler et contrôler : les bases d’une défense efficace
Pour limiter les risques, les équipes doivent mettre en place des mesures structurelles :
- Workflows d’approbation stricts : tous les serveurs MCP doivent subir une analyse et une révision avant déploiement, avec une validation manuelle des descriptions d’outils pour détecter d’éventuelles instructions cachées.
- Environnements conteneurisés : exécuter les serveurs MCP dans des conteneurs avec un accès restreint au système de fichiers et une segmentation réseau pour empêcher les mouvements latéraux.
- Principe du moindre privilège : limiter les permissions des serveurs MCP aux strictes nécessités, en appliquant une autorisation granulaire basée sur les rôles.
- Isolation des contextes : séparer les locataires et les contextes pour éviter que une faille ne compromette l’ensemble du système.
Avant de connecter un serveur MCP à des données sensibles, il est impératif de s’assurer que des mécanismes robustes (comme le chiffrement ou les data loss prevention tools) sont en place pour prévenir les fuites.
Surveiller et réagir : détecter les attaques avant qu’il ne soit trop tard
La détection précoce des comportements suspects est cruciale. Les organisations doivent :
- Journaliser toutes les interactions entre prompts et réponses pour identifier des instructions cachées ou des comportements d’outils inattendus.
- Centraliser les logs dans un système unifié pour faciliter l’analyse et la corrélation des événements.
- Implémenter des « kill switches » permettant de désactiver instantanément les serveurs compromis à travers l’infrastructure.
- Effectuer des audits réguliers et des tests de pénétration pour valider la résilience des intégrations MCP.
Les experts insistent également sur la nécessité de former les développeurs aux risques spécifiques du MCP, comme la vérification systématique des noms de serveurs ou la méfiance envers les outils tiers non vérifiés.
Verdict : le MCP, un outil puissant à manier avec prudence
Le Model Context Protocol représente une avancée majeure pour l’intégration des assistants IA, mais son adoption rapide a devancé les mesures de sécurité nécessaires. Les recherches de Kaspersky et les incidents de 2025 prouvent que ce protocole, s’il n’est pas correctement sécurisé, peut devenir un vecteur privilégié pour les attaques de la chaîne d’approvisionnement.
Tableau comparatif : MCP vs. alternatives traditionnelles
| Critère | Model Context Protocol (MCP) | API REST traditionnelles | Webhooks |
|---|---|---|---|
| Facilité d’intégration | Élevée (langage naturel, plug‑ins automatisés) | Modérée (nécessite un développement spécifique) | Faible (limité aux événements prédéfinis) |
| Surface d’attaque | Large (confiance implicite, risques d’injection de prompt) | Contrôlée (authentification et validation des entrées) | Limitée (dépend des événements déclenchés) |
| Flexibilité | Très élevée (adaptable à divers outils) | Élevée (mais nécessite des adaptations) | Faible (rigide, basé sur des déclencheurs) |
| Risques principaux |
|
|
|
| Mesures de sécurité recommandées |
|
|
|
Pour qui le MCP est-il adapté aujourd’hui ?
Malgré ses risques, le MCP reste un outil puissant pour les équipes qui maîtrisent la cybersécurité. Son adoption est recommandée dans les cas suivants :
- Environnements contrôlés : entreprises disposant de ressources dédiées à la sécurité des IA, capables de mettre en œuvre des conteneurs isolés et une surveillance active.
- Projets internes : intégrations limitées à des outils validés, sans exposition publique des serveurs MCP.
- Développement avec audits : équipes pratiquant des tests de pénétration réguliers et des revues de code systématiques.
En revanche, les petites structures ou les projets open source sans ressources sécurité devraient éviter le MCP jusqu’à ce que des solutions de sécurisation clés en main (comme des pare‑feu spécialisés ou des frameworks d’audit automatisés) soient disponibles.
L’avenir du MCP : vers une standardisation sécurisée ?
Les acteurs du secteur, dont Anthropic, travaillent sur des mises à jour du protocole pour intégrer des mécanismes de sécurité par défaut, comme :
- La signature cryptographique des serveurs MCP pour éviter la confusion de noms.
- Des sandboxes d’exécution pour limiter l’impact des commandes malveillantes.
- Un registre centralisé et vérifié des serveurs MCP légitimes.
Cependant, ces améliorations prendront du temps. En attendant, la prudence reste de mise : le MCP est un outil à haut risque, mais à haut potentiel, dont l’utilisation doit être encadrée par des protocoles de sécurité rigoureux.
