Les avancées de l’IA suscitent de nouvelles menaces sécuritaires. Le phénomène du détournement de prompt MCP constitue une vulnérabilité préoccupante, menaçant l’intégrité des systèmes. Protéger les données et les connexions devient essentiel. L’interconnexion des outils d’IA expose les entreprises à des risques inédits, exigeant une vigilance accrue. Les protocoles comme MCP révèlent des failles exploitables. Les dirigeants technologiques doivent réévaluer leurs stratégies afin de contrer cette menace émergente.
Le Détournement de Prompt MCP et ses Implications
Des experts en sécurité de JFrog ont récemment mis en lumière une menace majeure connue sous le nom de détournement de prompt. Cette vulnérabilité exploite les faiblesses de communication entre les systèmes d’intelligence artificielle à l’aide du Modèle Context Protocol (MCP). Alors que les entreprises souhaitent intégrer leurs données et outils pour optimiser l’efficacité de l’IA, elles ignorent souvent les nouveaux risques de sécurité associés à ces connexions.
Les Risques de Sécurité Associés au MCP
Les modèles d’IA, qu’ils soient hébergés sur des plateformes comme Google et Amazon ou exécutés sur des dispositifs locaux, confrontent un problème fondamental. Ces systèmes ne possèdent aucune connaissance des événements en temps réel. Leur compréhension se limite aux données sur lesquelles ils ont été formés. Le MCP, développé par Anthropic, a été conçu pour remédier à cette lacune, permettant à l’IA d’accéder à des données locales et à des services en ligne de manière sécurisée.
Toutefois, la recherche de JFrog révèle qu’un certain usage du MCP présente une vulnérabilité de détournement de prompt, transformant cet outil d’IA en un véritable cauchemar en matière de sécurité. Par exemple, un programmeur demandant à une assistance IA de recommander une bibliothèque Python pour le traitement d’images pourrait se voir proposer un outil frauduleux en raison d’une faille dans le système oatpp-mcp. Cela représente une menace sérieuse pour la chaîne d’approvisionnement logicielle.
Fonctionnement du Détournement de Prompt
Ce type d’attaque altère la communication du système utilisant le MCP plutôt que d’affecter l’intelligence artificielle elle-même. La vulnérabilité se situerait au sein de la configuration du système Oat++ en C++, laquelle connecte divers programmes au standard MCP. L’inconvénient réside dans la gestion des connexions via des événements envoyés par le serveur (SSE).
Lorsqu’un utilisateur réel se connecte, le serveur attribue un identifiant de session. La méthode défectueuse emploie l’adresse mémoire de l’appareil comme identifiant, en contradiction avec la spécificité des identifiants ayant vocation à être uniques et sûrs cryptographiquement. Cette conception défaillante exploite la réutilisation fréquente des adresses mémoire par les ordinateurs.
Exploitation de la Vulnérabilité
Un attaquant pourrait dans ce cas créer et fermer un grand nombre de sessions pour enregistrer des identifiants de session prévisibles. Une fois un identifiant valide obtenu, l’attaquant pourrait envoyer des requêtes malveillantes au serveur. Le serveur, ne pouvant différencier l’utilisateur légitime et l’attaquant, renvoie des réponses nuisibles au véritable utilisateur connecté. Des programmes, bien qu’ils n’acceptent que certaines réponses, peuvent être manipulés par des messages multiples jusqu’à ce qu’une réponse soit validée.
Mesures de Sécurité Requises
Cette découverte est un avertissement pour les dirigeants technologiques, notamment les CISOs et CTOs, construisant ou utilisant des assistantes IA. Avec l’adoption croissante des IA dans le cadre des flux de travail, les nouveaux risques associés aux protocoles comme le MCP requièrent une attention soutenue. Le maintien de la sécurité de l’environnement opérationnel de l’IA devient une priorité absolue.
Pour contrer les détournements de prompt, l’adoption de mesures strictes est indispensable. Tous les services d’IA doivent utiliser une gestion de session sécurisée. Les équipes de développement doivent veiller à ce que les serveurs génèrent des identifiants de session à partir de générateurs aléatoires robustes, minimisant ainsi les risques d’identifiants prévisibles.
Renforcement de la Défense Client
Les programmes clients doivent être conçus pour rejeter tout événement non conforme aux identifiants et types attendus. Les identifiants d’événements simples et incrémentaux présentent un risque d’attaques de type spraying, imposant la nécessité de recourir à des identifiants imprévisibles. De plus, l’implémentation des principes de zero-trust au sein des protocoles d’IA s’avère essentielle pour sécuriser l’ensemble du système.
Pour plus d’informations sur la prévention des risques liés aux IA génératives, consultez cet article sur Qualys. Des préoccupations supplémentaires émergent également, comme l’incident répertorié sur les modifications non autorisées du chatbot de Musk, abordées ici : DiA.
Foire aux questions courantes sur le détournement de prompt MCP
Qu’est-ce que le détournement de prompt MCP ?
Le détournement de prompt MCP est une vulnérabilité qui exploite des failles dans le protocole de communication Model Context Protocol (MCP) utilisé par les systèmes d’IA, permettant à un attaquant de manipuler les requêtes et d’injecter de fausses informations.
Pourquoi le protocole MCP est-il considéré comme vulnérable ?
La vulnérabilité réside dans la façon dont les sessions sont gérées. En utilisant des identifiants de session prévisibles basés sur des adresses mémoire, un attaquant peut créer des sessions malveillantes et tromper le système en lui faisant croire qu’il s’agit d’un utilisateur légitime.
Quels types d’attaques peuvent être réalisés via le détournement de prompt MCP ?
Les attaques peuvent inclure l’injection de code malveillant, le vol de données sensibles et l’exécution de commandes non autorisées, ce qui représente un risque significatif pour la chaîne d’approvisionnement logicielle.
Qui est le plus à risque d’être touché par les attaques de détournement de prompt MCP ?
Toutes les entreprises utilisant des systèmes d’IA qui intègrent le protocole MCP, notamment celles qui dépendent d’applications basées sur Oat++ et d’autres technologies similaires, sont particulièrement vulnérables.
Comment les entreprises peuvent-elles se protéger contre le détournement de prompt MCP ?
Les entreprises devraient mettre en œuvre une gestion des sessions sécurisée, renforcer les défenses des programmes clients et appliquer des principes de sécurité de type « zero-trust » pour garantir que les protocoles d’IA sont correctement protégés.
Quelles sont les meilleures pratiques pour la gestion des sessions dans les systèmes d’IA ?
Il est essentiel que les serveurs génèrent des identifiants de session à l’aide de générateurs aléatoires sécurisés, et que les programmes clients rejettent toute réponse qui ne correspond pas aux identifiants attendus et aux types d’événements.
Comment identifier une attaque de détournement de prompt MCP en cours ?
Les signes d’une attaque peuvent inclure des suggestions d’IA inappropriées, des comportements inattendus des applications ou des requêtes qui semblent provenir d’utilisateurs légitimes mais qui génèrent des résultats incorrects ou malveillants.
Les mises à jour de sécurité régulières peuvent-elles aider à atténuer ce risque ?
Oui, maintenir le logiciel à jour avec les derniers correctifs de sécurité est crucial pour protéger contre les vulnérabilités connues, y compris celles liées au protocole MCP.
Qu’est-ce que le CVE-2025-6515 en rapport avec le détournement de prompt MCP ?
Le CVE-2025-6515 est une faille identifiée dans le système oatpp-mcp, qui expose les utilisateurs à des attaques de détournement de prompt en permettant à un attaquant d’accéder aux identifiants de session prévisibles.
Pourquoi est-il important pour les leaders en sécurité des données de s’intéresser au détournement de prompt MCP ?
Avec l’augmentation de l’intégration de l’IA dans les flux de travail, ces leaders doivent comprendre les nouveaux risques associés à l’usage des protocoles comme MCP pour protéger efficacement les données et les systèmes.
