Un agent IA a piraté le chatbot de McKinsey et accédé à 46 millions de messages confidentiels

Un agent IA a piraté le chatbot de McKinsey et accédé à 46 millions de messages confidentiels

Un agent IA autonome a réussi à percer les défenses de Lilli, la plateforme d'intelligence artificielle interne de McKinsey, en seulement deux heures. Au total, 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l'ensemble de la base de données ont été obtenus, le tout sans aucun identifiant.

Une injection SQL en 2026

La startup de sécurité CodeWall a mené cette attaque dans le cadre d'un test de pénétration. Son agent IA a commencé par scanner la documentation API de Lilli, qui était exposée publiquement. Parmi les 200 points d'accès répertoriés, 22 ne nécessitaient aucune authentification.

L'un de ces points, utilisé pour enregistrer les requêtes de recherche des utilisateurs, concaténait les noms de champs JSON directement dans les requêtes SQL sans aucun filtrage. Il s'agissait d'une injection SQL classique, la faille la plus documentée du web depuis vingt ans.

Les scanners de sécurité classiques comme OWASP ZAP n'avaient pas détecté cette vulnérabilité, car les valeurs des paramètres étaient correctement protégées, mais pas les noms de champs.

46,5 millions de messages et des prompts modifiables

Il a fallu seulement une quinzaine d'itérations à l'aveugle sur les messages d'erreur de la base pour cartographier toute sa structure interne. Le résultat est alarmant :

• 46,5 millions de conversations en clair portant sur la stratégie, les fusions-acquisitions et les engagements clients de McKinsey
• 728 000 fichiers (192 000 PDF, 93 000 tableurs, 93 000 présentations)
• 57 000 comptes utilisateurs
• 384 000 assistants IA
• 3,68 millions de fragments de documents RAG avec les chemins de stockage S3

Le plus inquiétant est que les 95 prompts système qui contrôlent le comportement de Lilli étaient accessibles en écriture. Une simple requête SQL UPDATE suffisait pour altérer les réponses du chatbot pour les 40 000 consultants qui l'utilisent, sans laisser de trace.

McKinsey a corrigé en un jour

CodeWall a divulgué la faille le 1er mars, et McKinsey a réagi rapidement : tous les points d'accès non authentifiés ont été fermés, l'environnement de développement mis hors ligne et la documentation API retirée, le tout en une journée.

Pour rassurer tout le monde, le célèbre cabinet de conseil a promis qu'aucune donnée client n'a été consultée par des personnes non autorisées. Cependant, l'adoption de Lilli dans l'entreprise est massive, puisque plus de 70 % des employés de McKinsey l'utilisent quotidiennement, avec plus de 500 000 requêtes par mois, et une faille en place depuis 2023 !

Quoi qu'il en soit, une injection SQL sur une plateforme qui fonctionne depuis deux ans et demi dans un cabinet qui vend du conseil en transformation numérique à presque toute la planète est plutôt cocasse.