La scène aurait pu sortir d’un roman de science-fiction. En l’espace de deux heures, un agent d’intelligence artificielle développé par la start-up CodeWall a pénétré Lilli, l’assistant interne du cabinet de conseil McKinsey, en exploitant des failles dans son architecture. Résultat : un accès théorique à des dizaines de millions de messages et à des centaines de milliers de fichiers clients.
Lilli, un outil stratégique au coeur du cabinet
Lancée en 2023, Lilli est bien plus qu’un simple chatbot. Elle constitue la colonne vertébrale informationnelle de McKinsey, utilisée par plus de 40 000 collaborateurs pour analyser des données, préparer des recommandations clients et accéder aux ressources internes du cabinet. Chaque mois, la plateforme traite plus d’un demi-million de requêtes portant sur des sujets hautement sensibles.
C’est précisément cette richesse fonctionnelle qui en fait une cible de choix.
Une intrusion pilotée par une machine
Ce qui distingue cette attaque des incidents classiques, c’est son caractère entièrement automatisé. Contrairement à un script d’exploitation traditionnel, l’agent IA de CodeWall a agi de manière autonome : il a sélectionné sa cible en analysant des sources publiques, cartographié l’infrastructure exposée, identifié les failles et tenté plusieurs vecteurs d’intrusion avant de consolider ses résultats.
Le point d’entrée ? Une documentation d’API accessible sans authentification, révélant 22 endpoints ouverts. L’un d’eux enregistrait les requêtes utilisateurs sans filtrage suffisant, ce qui a permis à l’agent d’y injecter des commandes SQL. Les messages d’erreur renvoyés par le système ont ensuite servi de boussole pour cartographier la structure interne de la base de données.
Des données massives potentiellement exposées
Si un acteur malveillant avait mené la même opération, il aurait pu accéder à 46,5 millions de conversations, 728 000 fichiers liés à des missions, 57 000 comptes utilisateurs et près d’une centaine d’instructions système gouvernant le comportement du modèle. Pire, les droits obtenus en lecture et en écriture auraient théoriquement permis de manipuler les réponses de l’assistant, voire d’en subvertir les garde-fous.
McKinsey affirme, après investigation interne, qu’aucune donnée n’a été effectivement consultée ou extraite. La vulnérabilité avait été signalée le 1er mars dans le cadre d’une démarche de divulgation responsable, et les correctifs ont été déployés rapidement.
Un signal d’alarme pour tous les déploiements d’IA en entreprise
Au-delà du cas McKinsey, cet épisode soulève une question fondamentale pour toute organisation ayant déployé un système d’IA générative en interne : la sécurité de ces plateformes est-elle pensée à la hauteur de leur criticité ?
Les assistants internes alimentés par des bases documentaires propriétaires concentrent par nature des informations sensibles. Leur surface d’attaque dépasse largement celle d’une application métier classique, et leur popularité croissante en fait des cibles prioritaires pour des agents automatisés capables de les sonder en quelques heures.
L’affaire Lilli marque peut-être le début d’un nouveau paradigme : celui où les systèmes d’IA ne sont plus seulement des outils, mais aussi des adversaires potentiels dans la chaîne de la cybersécurité. Pour les DPO et les RSSI, la question n’est plus de savoir si ce type d’attaque est possible, mais combien de leurs propres déploiements y sont exposés.
