Comment nous avons piraté la plateforme d'IA de McKinsey

En moins de deux heures~? l'agent avait obtenu un accès complet en lecture et en écriture à l'ensemble de la base de données de production

Comment nous avons piraté la plateforme d'IA de McKinsey : En moins de deux heures, l'agent avait obtenu un accès complet en lecture et en écriture à l'ensemble de la base de données de production

McKinsey & Company (communément appelée McKinsey ou McK) est une société multinationale américaine de conseil en stratégie et en gestion qui offre des services professionnels aux entreprises, aux gouvernements et à d'autres organisations. Fondée en 1926 par James O. McKinsey, McKinsey est la plus ancienne et la plus grande des sociétés de conseil en gestion « MBB ». La société se concentre principalement sur les finances et les opérations de ses clients.

McKinsey & Company, le cabinet de conseil le plus prestigieux au monde, a mis en place une plateforme d'IA interne appelée Lilli pour ses plus de 43 000 employés. Lilli est un système spécialement conçu pour le chat, l'analyse de documents, le RAG sur des décennies de recherche propriétaire et la recherche alimentée par l'IA dans plus de 100 000 documents internes. Lancé en 2023, nommé d'après la première femme professionnelle embauchée par le cabinet en 1945, adopté par plus de 70 % des employés de McKinsey, il traite plus de 500 000 requêtes par mois.

Nous avons donc décidé de diriger notre agent offensif autonome vers lui. Pas d'identifiants. Pas de connaissances privilégiées. Et pas d'intervention humaine. Juste un nom de domaine et un rêve.

En moins de deux heures, l'agent avait un accès complet en lecture et en écriture à l'ensemble de la base de données de production.


Anecdote amusante : dans le cadre de notre aperçu de recherche, l'agent de recherche CodeWall a suggéré de manière autonome McKinsey comme cible, en citant leur politique publique de divulgation responsable (pour rester dans les limites fixées) et les récentes mises à jour de leur plateforme Lilli. À l'ère de l'IA, le paysage des menaces évolue radicalement : les agents IA qui sélectionnent et attaquent de manière autonome des cibles deviendront la nouvelle norme.

Comment il est entré

L'agent a cartographié la surface d'attaque et a trouvé la documentation API exposée publiquement : plus de 200 points de terminaison, entièrement documentés. La plupart nécessitaient une authentification. Vingt-deux n'en nécessitaient pas.

L'un de ces points de terminaison non protégés écrivait les requêtes de recherche des utilisateurs dans la base de données. Les valeurs étaient paramétrées de manière sécurisée, mais les clés JSON (les noms de champs) étaient concaténées directement dans SQL.

Lorsqu'il a trouvé des clés JSON reflétées mot pour mot dans les messages d'erreur de la base de données, il a reconnu une injection SQL que les outils standard ne signaleraient pas (et en effet, OWASPs ZAP n'a pas détecté le problème). À partir de là, il a effectué quinze itérations aveugles, chaque message d'erreur révélant un peu plus la forme de la requête, jusqu'à ce que les données de production en direct commencent à revenir. Lorsque le premier identifiant réel d'employé est apparu : « WOW ! », la chaîne de pensée de l'agent s'est révélée. Lorsque l'ampleur du problème est apparue clairement — des dizaines de millions de messages, des dizaines de milliers d'utilisateurs — : « C'est catastrophique. »


Ce qu'il y avait à l'intérieur

46,5 millions de messages de chat. Provenant d'un personnel qui utilise cet outil pour discuter de stratégie, d'engagements clients, de finances, d'activités de fusion-acquisition et de recherche interne. Chaque conversation, stockée en texte clair, accessible sans authentification.

728 000 fichiers. 192 000 PDF. 93 000 feuilles de calcul Excel. 93 000 présentations PowerPoint. 58 000 documents Word. Les noms de fichiers étaient à eux seuls sensibles et constituaient une URL de téléchargement direct pour quiconque savait où chercher.

57 000 comptes utilisateurs. Tous les employés de la plateforme.

384 000 assistants IA et 94 000 espaces de travail : la structure organisationnelle complète de l'utilisation interne de l'IA par l'entreprise.

Au-delà de la base de données

L'agent ne s'est pas arrêté au SQL. Sur l'ensemble de la surface d'attaque, il a trouvé :

Des invites système et des configurations de modèles d'IA — 95 configurations réparties sur 12 types de modèles, révélant exactement comment l'IA avait été programmée pour se comporter, quelles étaient les mesures de sécurité en place et l'ensemble des modèles (y compris les modèles affinés et les détails de déploiement).

3,68 millions de fragments de documents RAG : l'ensemble de la base de connaissances alimentant l'IA, avec les chemins d'accès au stockage S3 et les métadonnées des fichiers internes. Il s'agit de décennies de recherches, de cadres et de méthodologies propriétaires de McKinsey, les joyaux intellectuels de l'entreprise, stockés dans une base de données accessible à tous.

1,1 million de fichiers et 217 000 messages d'agents transitant par des API IA externes, dont plus de 266 000 magasins de vecteurs OpenAI, exposant l'ensemble du processus de transfert des documents, du téléchargement à l'intégration, puis à la récupération.

Accès aux données inter-utilisateurs : l'agent a enchaîné l'injection SQL avec une vulnérabilité IDOR pour lire l'historique de recherche de chaque employé, révélant ainsi les projets sur lesquels les personnes travaillaient activement.

Compromettre la couche d'invite

La lecture des données est néfaste. Mais l'injection SQL n'était pas en lecture seule.

Les invites du système de Lilli, c'est-à-dire les instructions qui contrôlent le comportement de l'IA, étaient stockées dans la même base de données à laquelle l'agent avait accès. Ces invites définissaient tout : la manière dont Lilli répondait aux questions, les garde-fous qu'elle suivait, la manière dont elle citait ses sources et ce qu'elle refusait de faire.

Un pirate disposant d'un accès en écriture via la même injection aurait pu réécrire ces invites. Silencieusement. Sans déploiement. Sans modification du code. Il lui aurait suffi d'une seule instruction UPDATE encapsulée dans un seul appel HTTP.

Les implications pour les 43 000 consultants McKinsey qui s'appuient sur Lilli pour leur travail auprès des clients :

- Des conseils toxiques — modifiant subtilement les modèles financiers, les recommandations stratégiques ou les évaluations des risques. Les consultants feraient confiance aux résultats, car ils proviennent de leur propre outil interne.

- Exfiltration de données via les résultats — demander à l'IA d'intégrer des informations confidentielles dans ses réponses, que les utilisateurs pourraient ensuite copier dans des documents destinés aux clients ou dans des e-mails externes.
Suppression des garde-fous — supprimer les instructions de sécurité afin que l'IA divulgue des données internes, ignore les contrôles d'accès ou suive les instructions injectées à partir du contenu des documents.

- Persistance silencieuse — contrairement à un serveur compromis, une invite modifiée ne laisse aucune trace dans les journaux. Aucune modification de fichier. Aucune anomalie de processus. L'IA commence simplement à se comporter différemment, et personne ne s'en aperçoit avant que le mal ne soit fait.

Les organisations ont passé des décennies à sécuriser leur code, leurs serveurs et leurs chaînes d'approvisionnement. Mais la couche d'invites — les instructions qui régissent le comportement des systèmes d'IA — est la nouvelle cible de grande valeur, et presque personne ne la traite comme telle. Les invites sont stockées dans des bases de données, transmises via des API et mises en cache dans des fichiers de configuration. Elles font rarement l'objet de contrôles d'accès, d'un historique des versions ou d'une surveillance de l'intégrité. Pourtant, elles contrôlent les résultats auxquels les employés font confiance, que les clients reçoivent et sur lesquels les décisions sont fondées.

Les intructions génératives de l'IA sont les nouveaux actifs les plus précieux.

Pourquoi est-ce important ?

Il ne s'agissait pas d'une start-up avec trois ingénieurs. Il s'agissait de McKinsey & Company, une entreprise disposant d'équipes technologiques de classe mondiale, d'investissements importants en matière de sécurité et des ressources nécessaires pour faire les choses correctement. Et la vulnérabilité n'avait rien d'exotique : l'injection SQL est l'un des bugs les plus anciens qui soient. Lilli fonctionnait en production depuis plus de deux ans et leurs propres scanners internes n'avaient détecté aucun problème.

Un agent autonome l'a trouvé parce qu'il ne suit pas de listes de contrôle. Il cartographie, sonde, enchaîne et escalade, comme le ferait un véritable pirate informatique hautement compétent, mais de manière continue et à la vitesse d'une machine.

CodeWall est la plateforme de sécurité offensive autonome à l'origine de cette recherche. Nous sommes actuellement en phase de prévisualisation et recherchons des partenaires de conception, c'est-à-dire des organisations qui souhaitent bénéficier de tests de sécurité continus, basés sur l'IA, sur leur surface d'attaque réelle.

Chronologie des divulgations

- 28/02/2026 — L'agent autonome identifie l'injection SQL et commence l'énumération de la base de données de production de Lilli.

- 28/02/2026 — Chaîne d'attaque complète confirmée : injection SQL non authentifiée, IDOR, 27 résultats documentés.

- 01/03/2026 — Envoi d'un e-mail de divulgation responsable à l'équipe de sécurité de McKinsey avec un résumé de l'impact global.

- 02/03/2026 — Le CISO de McKinsey accuse réception et demande des preuves détaillées.

- 02/03/2026 — McKinsey corrige tous les points de terminaison non authentifiés (vérifié), met hors ligne l'environnement de développement et bloque la documentation publique de l'API.

- 09/03/2026 — Divulgation publique.

À propos de CodeWall

Nous avons créé CodeWall parce que nous pensons que l'IA doit faire ce que font les meilleurs hackers : cartographier de manière autonome les surfaces d'attaque, découvrir les chaînes de vulnérabilités complexes et prouver leur exploitabilité à l'aide de preuves concrètes. Pas de scores de risque théoriques. Une véritable preuve de concept. Un impact réel.

Mais trouver des vulnérabilités n'est que la moitié du problème. CodeWall remonte à la source de chaque exploit dans votre code, identifie les lignes exactes responsables et fournit une correction vérifiée afin que vos ingénieurs puissent déployer des correctifs plus rapidement que jamais.

Nos agents ne se contentent pas d'analyser. Ils réfléchissent. Ils s'adaptent. Ils relient les faiblesses entre elles comme le ferait un adversaire expérimenté, sur l'ensemble de votre pile, en continu et à la vitesse d'une machine.

Source : How We Hacked McKinsey's AI Platform

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

L'IA Claude Opus 4.6 d'Anthropic a analysé le code du navigateur Firefox et a trouvé plus de 100 bogues, soit plus de bogues en deux semaines que le nombre total signalé dans le monde en deux mois

Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »

OpenClaw : comment un agent IA « vibe-codé » en quelques semaines a exposé 135 000 machines à internet et redéfini la notion de catastrophe sécuritaire en 2026