Un agent IA a piraté la plateforme interne de McKinsey en deux heures grâce à une technique vieille de plusieurs décennies

Un agent IA a piraté la plateforme interne de McKinsey en deux heures grâce à une technique vieille de plusieurs décennies

La société de sécurité Codewall a utilisé un agent IA pour obtenir un accès complet à la plateforme IA de McKinsey, Lilli, en seulement deux heures grâce à une injection SQL classique.

Les commandes contrôlant le comportement de Lilli étaient stockées dans la même base de données. Un attaquant aurait pu manipuler silencieusement le fonctionnement de l'IA pour 43 000 utilisateurs.

McKinsey a corrigé le système dans la journée. Cependant, cette affaire met en évidence un fait clair : lorsque les commandes se trouvent dans des bases de données classiques, une vulnérabilité bien connue devient un levier pour une manipulation silencieuse de l'IA.

La société de sécurité Codewall a lancé un agent IA offensif sur la plateforme interne de McKinsey, Lilli, un système utilisé par plus de 43 000 employés pour des travaux de stratégie, de recherche client et d'analyse de documents. Sans identifiants, sans connaissance interne, sans assistance humaine. En deux heures, l'agent avait un accès complet en lecture et écriture à la base de données de production.

Le point d'entrée était une vulnérabilité d'injection SQL que les scanners conventionnels avaient manquée. Les valeurs dans les requêtes API étaient correctement paramétrées, mais les noms de champs JSON étaient insérés directement dans les requêtes SQL. Après plus de 15 itérations aveugles, l'agent a extrait des informations de plus en plus détaillées à partir des messages d'erreur jusqu'à ce que des données de production commencent à affluer. Cela incluait 46,5 millions de messages de chat, 728 000 fichiers et 57 000 comptes utilisateurs, tous accessibles sans authentification.

Les commandes deviennent la nouvelle surface d'attaque

La découverte la plus alarmante était que les commandes du système contrôlant le comportement de Lilli étaient stockées dans la même base de données. Codewall explique qu'un attaquant avec un accès en écriture via la même injection aurait pu réécrire ces commandes silencieusement. Pas de déploiement nécessaire, pas de modifications de code, juste une seule instruction UPDATE dans un appel HTTP. Les conséquences potentielles vont de modèles financiers corrompus et de recommandations stratégiques manipulées à une exfiltration silencieuse de données via les réponses de l'IA. Et personne ne l'aurait remarqué, car les commandes modifiées ne laissent pas de traces traditionnelles.

De plus, l'agent a obtenu accès à 3,68 millions de morceaux de documents RAG, ce qui représente l'ensemble de la base de connaissances alimentant les réponses de Lilli. Des décennies de recherche, de cadres et de méthodologies propriétaires de McKinsey étaient toutes stockées dans une base de données non sécurisée.

McKinsey a corrigé les vulnérabilités dans la journée suivant la notification le 1er mars. Une enquête judiciaire menée par une société externe n'a trouvé aucune preuve que des données clients ou des informations confidentielles aient été accessibles par le chercheur ou tout autre tiers non autorisé, a déclaré un porte-parole de McKinsey à The Register.

Un bug vieux de plusieurs décennies avec des conséquences entièrement nouvelles

Il y a une ironie presque frappante dans cette affaire. La vulnérabilité exploitée par l'agent était une injection SQL, "l'une des plus anciennes classes de bugs", comme le note Codewall lui-même. Ce n'est pas une attaque spécifique à l'IA, mais un bug connu depuis les années 1990. Le fait qu'elle ait survécu pendant deux ans dans une base de données de production de McKinsey sans être détectée par des scanners conventionnels soulève de sérieuses questions. Le vecteur d'attaque inhabituel ciblait les noms de champs JSON plutôt que les valeurs d'entrée, ce qui explique pourquoi les outils de sécurité standard l'ont manqué, comme le souligne l'analyste en sécurité Edward Kiledjian dans une analyse indépendante.

Ce qui est véritablement nouveau ici, c'est le potentiel de retombées. Parce que les commandes, les données RAG et les configurations de modèles se trouvent dans les mêmes bases de données que tout le reste, une vulnérabilité classique devient un levier qui peut silencieusement modifier le comportement d'un système IA pour des milliers d'utilisateurs.

L'analyse de Codewall est claire. "Les commandes IA sont les nouveaux actifs précieux", écrit la société. Les organisations ont passé des décennies à sécuriser leur code, leurs serveurs et leurs chaînes d'approvisionnement, mais la couche de commandes est la nouvelle cible de grande valeur et presque personne ne la traite comme telle.

Kiledjian offre cependant un contexte important. Bien que Codewall ait probablement découvert une vulnérabilité sérieuse, son article de blog exagère ce qui a réellement été démontré et brouille la ligne entre avoir accès et réellement exfiltrer des données.

Codewall vend une plateforme autonome pour les tests de sécurité offensifs et est actuellement en phase de prévisualisation. Le piratage de McKinsey sert clairement de carte de visite. La société affirme avoir opéré sous la politique de divulgation responsable publique de McKinsey sur HackerOne. La question de savoir si cette politique couvre réellement la lecture systématique d'une base de données de production contenant des millions de véritables enregistrements utilisateurs est discutable, comme le note Kiledjian.

Aucun de cela ne change la découverte fondamentale. Quiconque déploie des systèmes IA en production doit prendre son architecture de sécurité aussi au sérieux que son infrastructure traditionnelle. Et cela reste clairement un défi même pour des entreprises qui devraient mieux savoir.