Un chatbot interne bourré de données confidentielles, un agent IA malicieux, deux heures de travail, et un accès total à des millions de messages et de fichiers. Non, ce n’est pas le scénario du prochain film d’espionnage, mais le dernier pentest qui a mis McKinsey & Company dans une position délicate. Une démonstration spectaculaire qui nous rappelle que face aux systèmes automatisés, on a parfois tendance à laisser la porte déverrouillée.
Comment un agent IA a piraté le chatbot de McKinsey pour un accès total
Lilli, le chatbot vulnérable de McKinsey
Tout commence avec Lilli, l’assistant IA générative interne du célèbre cabinet de conseil, conçu pour aider ses employés à naviguer dans la masse de connaissances de l’entreprise. Des chercheurs en sécurité de la société CodeWall ont décidé de le tester en utilisant un agent IA autonome. Leur objectif était de voir si cette intelligence artificielle pouvait trouver et exploiter seule une faille.
Le résultat est aussi impressionnant qu’inquiétant. En moins de deux heures, sans aucune connaissance préalable des systèmes internes de McKinsey, l’agent IA a réussi son coup. Il a découvert et exploité une vulnérabilité de type injection SQL sur un point d’accès ouvert de Lilli. Cette faille lui a offert un accès en lecture ET en écriture au système.
Les chiffres de la fuite donnent le vertige. L’intrusion a exposé 46,5 millions de messages de chat, 728 000 fichiers et les données de 57 000 comptes utilisateurs. McKinsey a corrigé la faille après avoir été informée par les chercheurs, mais le mal était déjà fait dans la démonstration.
Le paradoxe de la sécurité automatisée
L’exploit technique est une chose. Mais le commentaire qui accompagne ce cas dans les discussions est peut-être encore plus révélateur. Il pointe du doigt un biais de sécurité inquiétant dans notre approche de l’automatisation.
Pour qu’un humain accède à des données sensibles dans une grande entreprise, le parcours est souvent semé d’embûches : identifiant complexe, mot de passe robuste, authentification multifacteur (MFA), autorisations granulaires. Maintenant, transposez cela à un processus automatisé, à un agent IA ou à un robot logiciel. Soudain, la même rigueur semble moins systématique.
Mettre en place une authentification aussi solide pour une entité non-humaine est perçu comme plus complexe, plus lourd. Résultat : on a tendance à relâcher les protocoles. On crée des comptes de service avec des permissions larges et des mots de passe statiques, on expose des API avec une sécurité minimaliste, bref, on sous-estime la menace. Les principes fondamentaux de l’authentification et de l’autorisation ne sont pas appliqués avec la même vigueur aux acteurs non-humains.
Agentic AI, le nouveau bras armé du cybercrime
L’autre enseignement majeur de cette affaire McKinsey, c’est la démonstration pratique de la menace posée par l’Agentic AI ou IA agentique. Ce n’est plus un simple outil manipulé par un hacker, c’est un assaillant autonome capable de raisonner, d’explorer, de planifier et d’exécuter une attaque de A à Z.
Imaginez : au lieu de passer des heures à chercher manuellement une faille, un pirate peut désormais lâcher son agent IA dans la nature numérique avec une consigne simple : Trouve un moyen d’entrer dans ce système. L’agent teste des vulnérabilités connues, tente des injections, explore l’architecture. Il automatise et amplifie l’attaque. L’histoire de Lilli prouve que même les géants les plus prestigieux, avec supposément des budgets sécurité conséquents, ne sont pas à l’abri.
Cette automatisation du mal présente un défi inédit. Elle réduit le temps nécessaire pour mener une attaque, permet de cibler un grand nombre d’organisations simultanément, et rend les assauts plus difficiles à détecter car ils peuvent imiter des comportements normaux. La course entre les IA qui défendent et les IA qui attaquent est officiellement lancée.
Conclusion : serrer la vis aux robots
L’épisode du chatbot Lilli de McKinsey est une sonnette d’alarme en deux actes. D’abord, il rappelle que les vulnérabilités basiques, comme l’injection SQL, restent une porte d’entrée massive, surtout sur les nouvelles interfaces que sont les chatbots. Ensuite, et surtout, il expose un angle mort stratégique : la sécurité différenciée entre humains et automates.
Il est urgent d’appliquer le principe de sécurité by design aux workflows automatisés et aux agents IA avec la même sévérité, sinon plus, qu’aux accès humains. Audit d’authentification pour les bots, revue des permissions des comptes de service, durcissement des API. La confiance zéro ne doit pas s’arrêter à la chair et au sang.
