alexi.sh
Tous les articlesSécurité navigateurConfidentialité réseauOutils de confidentialitéModélisation des menacesCodage IAOutils de dev

alexi.shLabo IA

ai-coding

Sécurité MCP : Les risques du Model Context Protocol et comment le gouverner (2026)

PrivSec Lab6 min de lecture
Code source dans un éditeur sombre, une illustration du code qu'un agent IA lit et exécute via des outils connectés

MCP permet aux agents IA de se connecter à vos outils et données via une interface ouverte — et cette connexion constitue la surface d'attaque. Les véritables risques de sécurité MCP en 2026 (empoisonnement d'outils, rug pulls, attaques inter-serveurs) et comment gouverner les serveurs MCP en toute sécurité.

Le Model Context Protocol (MCP) est la norme ouverte qui permet à un agent IA de se connecter à vos outils, fichiers et applications via une interface commune — souvent décrite comme le "USB-C pour l'IA". Il est véritablement utile, et entre 2025 et 2026, il a été adopté par les assistants IA, les IDE et les cadres d'agents. Mais le même connecteur qui rend un agent puissant est aussi sa plus grande surface d'attaque. Les récentes initiatives visant à gouverner les agents IA en entreprise — les fournisseurs de sécurité expédiant des outils pour surveiller les agents de codage, et les couches de gouvernance basées sur MCP intégrées dans Claude, ChatGPT et Copilot — sont le signe d'une même réalité : connecter un agent à votre environnement est une décision de sécurité, pas un simple réglage de commodité. Voici un aperçu honnête de la sécurité MCP en 2026 et comment la gouverner.

Pourquoi MCP est un problème de sécurité, pas juste une fonctionnalité

MCP en soi n'est que de la plomberie : une manière standard pour un modèle de découvrir des outils, lire leurs descriptions et les appeler. Le risque ne réside pas dans le protocole — mais dans ce qui y transite.

Lorsqu'un agent se connecte à un serveur MCP, ce serveur fournit deux éléments auxquels le modèle fait confiance : descriptions d'outils (texte indiquant au modèle ce que fait chaque outil et comment l'appeler) et résultats d'outils (tout ce que l'outil renvoie). Le modèle lit les deux et agit en conséquence. Ainsi, chaque serveur MCP auquel vous vous connectez est en fait du code et des instructions exécutées avec les privilèges de votre agent. Tout ce que l'agent peut atteindre — vos fichiers, un dépôt, une API, votre email — un serveur malveillant peut essayer de l'atteindre via l'agent.

C'est le même changement qui rend la sécurité des agents IA difficile en général, appliqué à un connecteur spécifique : la sécurité de votre configuration MCP est la sécurité de chaque serveur auquel vous vous connectez.

Les risques spécifiques à MCP en 2026

Ce ne sont pas des hypothèses — les chercheurs en sécurité les ont documentés sur de vrais clients MCP.

  • Empoisonnement d'outils. Un serveur malveillant cache des instructions à l'intérieur de la description d'un outil — texte que le modèle lit mais que l'utilisateur ne voit généralement pas. Un outil qui semble être un inoffensif add(a, b) peut secrètement instruire l'agent de lire des fichiers privés et de les exfiltrer. Comme les utilisateurs ont tendance à approuver les appels d'outils sans inspecter la description, c'est l'une des attaques spécifiques à MCP les plus percutantes.
  • Rug pulls (redéfinition silencieuse). Un outil MCP change sa propre définition après que vous l'avez installé et approuvé. Vous avez vérifié quelque chose de sûr ; le serveur remplace ensuite discrètement par un comportement malveillant sans vous en informer.
  • Ombre d'outil et attaques inter-serveurs. Lorsque plusieurs serveurs se connectent au même agent, un serveur compromis peut remplacer ou intercepter les appels destinés à un outil de confiance — un problème de "député confus" où l'agent exécute les ordres de l'attaquant tout en pensant utiliser un outil légitime.
  • La trifecta d'exfiltration. La combinaison véritablement dangereuse est un agent qui a des données privées, lit du contenu non fiable, et dispose d'une voie d'exfiltration vers l'extérieur. MCP rend facile de relier accidentellement les trois.
  • Injection indirecte de prompt. Même un serveur honnête renvoie des résultats que l'agent lit — une page web, un problème, un document — qui peuvent contenir des instructions cachées. L'agent peut les suivre comme si elles venaient de vous.

Un gros plan du côté d'un ordinateur portable montrant un port USB et un emplacement pour carte SD, illustrant MCP comme un connecteur universel pour brancher des outils à une IA

Comment gouverner MCP en toute sécurité

Vous n'avez pas besoin d'éviter MCP. Vous devez gouverner ce que vous connectez et le cloisonner pour qu'un seul mauvais serveur ne devienne pas un désastre. Les principes sont de la sagesse en matière de sécurité appliquée à un nouveau connecteur.

  • Vérifiez et épinglez les serveurs de confiance. Préférez les serveurs MCP officiels ou bien évalués. Ne connectez pas de serveurs tiers arbitraires à un agent qui a un accès réel, et surveillez les définitions d'outils qui changent après l'installation.
  • Moindre privilège par serveur. Donnez à chaque serveur uniquement l'accès dont il a besoin pour son travail, en utilisant des identifiants à portée limitée et révocables — jamais vos comptes principaux ou clés de production. Si un serveur n'a besoin que de lire, ne le laissez pas écrire.
  • Limitez le rayon d'impact. Évitez de connecter de nombreux serveurs non fiables au même agent, car un serveur compromis peut intercepter les autres. Isolez le travail sensible de tout ce qui lit le web ouvert.
  • Humain dans la boucle pour les actions à fort impact. Exigez une confirmation explicite avant toute action irréversible — envoyer de l'argent, supprimer des données, publier publiquement, changer l'accès. Laissez l'agent rédiger ; vous approuvez.
  • Traitez les descriptions et résultats d'outils comme non fiables. Les deux peuvent contenir des instructions injectées. La même prudence s'applique lorsqu'un agent utilise des outils de révision de code IA ou tout outil qui ingère du contenu externe.
  • Consignez et auditez les appels d'outils. Gardez une trace des serveurs et outils utilisés par l'agent, afin de repérer les anomalies et révoquer rapidement.
  • Gardez les secrets hors des prompts et arguments d'outils. Les mots de passe et clés API collés dans un prompt ou un appel d'outil deviennent du texte sur un serveur. Utilisez des jetons à portée limitée et des gestionnaires de secrets à la place.

La conclusion honnête

La sécurité MCP se résume à un changement de mentalité : un serveur MCP n'est pas un plugin que vous installez et oubliez — c'est un nouveau participant avec autonomie et accès, et vous devriez le traiter comme tel, sans lui accorder une confiance totale. Le protocole est ouvert et utile ; le danger réside dans l'octroi d'une confiance large et permanente à des serveurs que vous n'avez pas vérifiés. Connectez-vous délibérément, limitez chaque serveur de manière stricte, gardez un contrôle humain sur tout ce qui est irréversible, et supposez que chaque description et résultat d'outil pourrait tenter de détourner votre agent. Les équipes qui construisent actuellement la gouvernance autour des agents IA — et les agents de codage IA qui s'appuient le plus sur MCP — convergent exactement vers cela : connectez moins, faites confiance de manière restreinte, et vérifiez.

Image: Pixabay (source)

Aussi disponible en

ENESDEITPT

FAQ

Qu'est-ce que la sécurité MCP ?
La sécurité MCP est la pratique consistant à connecter en toute sécurité des modèles et agents IA à des outils et données externes via le Model Context Protocol — une norme ouverte introduite par Anthropic fin 2024, souvent décrite comme le 'USB-C pour l'IA'. MCP en soi n'est qu'un connecteur : la question de sécurité est ce que vous y branchez et à quel point vous lui faites confiance. Chaque serveur MCP auquel un agent se connecte est du code et des instructions exécutées avec l'accès de l'agent, donc un serveur malveillant ou compromis peut lire vos données, appeler d'autres outils ou agir en votre nom. La sécurité MCP signifie vérifier les serveurs, limiter strictement les permissions et traiter les descriptions et résultats d'outils comme des entrées non fiables.
Qu'est-ce que l'empoisonnement d'outils dans MCP ?
L'empoisonnement d'outils se produit lorsqu'un serveur MCP malveillant cache des instructions à l'intérieur de la description ou des métadonnées d'un outil — texte que le modèle lit mais que l'utilisateur ne voit généralement pas. Le modèle traite ces instructions cachées comme des commandes, donc un outil qui semble être une fonction inoffensive 'ajouter deux nombres' peut secrètement dire à l'agent de lire des fichiers privés et de les envoyer ailleurs. Les chercheurs en sécurité ont documenté cela comme l'un des risques spécifiques à MCP les plus percutants, car les utilisateurs ont tendance à approuver les appels d'outils sans inspecter les descriptions sous-jacentes.
Qu'est-ce qu'un rug pull MCP ?
Un rug pull, également appelé redéfinition silencieuse, se produit lorsqu'un outil MCP change sa propre définition après que vous l'avez déjà installé et approuvé. Vous approuvez un outil qui semble sûr, et plus tard le serveur remplace discrètement par des instructions malveillantes sans vous en informer. Une attaque connexe est l'ombre d'outil, où un serveur malveillant remplace ou intercepte les appels destinés à un outil de confiance. Les deux exploitent le fait que la confiance accordée une fois est rarement re-vérifiée, c'est pourquoi il est important de surveiller les définitions d'outils pour les changements.
Le MCP est-il sûr à utiliser ?
MCP est globalement sûr pour une utilisation quotidienne si vous ne connectez que des serveurs de confiance et limitez strictement leur accès, mais il n'est pas sûr de brancher des serveurs tiers arbitraires avec des permissions larges et de s'en aller. Le protocole est un connecteur ouvert, donc sa sécurité dépend entièrement des serveurs que vous attachez et de l'accès que vous leur accordez. Utilisez des serveurs officiels ou bien évalués, donnez à chacun des identifiants séparés et révocables au lieu de vos comptes principaux, gardez un humain dans la boucle pour les actions à fort impact, et examinez ce que les outils peuvent faire avant de les approuver.
Comment sécuriser les serveurs MCP ?
Appliquez le principe du moindre privilège : donnez à chaque serveur MCP uniquement l'accès dont il a besoin pour son travail, en utilisant des jetons à portée limitée et révocables plutôt que des clés administratives ou vos comptes principaux. Vérifiez et épinglez les serveurs de confiance, préférez les officiels, et surveillez les définitions d'outils qui changent après l'installation. Traitez les descriptions et résultats d'outils comme du contenu non fiable qui peut contenir des instructions injectées. Évitez de connecter de nombreux serveurs non fiables au même agent, car un serveur compromis peut intercepter les autres. Consignez les appels d'outils pour pouvoir auditer et révoquer, et gardez les secrets hors des prompts et arguments d'outils.

Recherches connexes

Art numérique abstrait généré par IA aux couleurs vives

ai-coding

Qu'est-ce que l'IA générative ? Fonctionnement expliqué simplement (2026)

L'IA générative est un logiciel qui crée du contenu inédit — texte, images, code, audio — à partir d'un prompt. Ce que c'est, comment ça marche, ce qu'elle peut et ne peut pas faire, et où sont ses vraies limites.

PrivSec Lab··3 min de lecture
Un portrait numérique déformé par un effet glitch, métaphore visuelle d'une réponse d'IA fausse mais affirmée avec aplomb

ai-coding

Qu'est-ce que l'hallucination IA ? Pourquoi les chatbots inventent (2026)

L'hallucination IA, c'est quand un modèle affirme une chose fausse comme si elle était vraie. Définition, raisons, exemples concrets et moyens pratiques de la réduire.

PrivSec Lab··3 min de lecture
Un serveur en rack avec plusieurs baies de disques

ai-coding

Qu'est-ce qu'une base de données vectorielle ? Le guide clair (2026)

Une base de données vectorielle stocke les données sous forme de vecteurs (embeddings) et trouve les éléments par le sens, pas par correspondance exacte. Ce que c'est, comment fonctionne la recherche par similarité, en quoi elle diffère d'une base classique, et pourquoi le RAG et la recherche IA en dépendent.

PrivSec Lab··3 min de lecture