Les piles MCP ont une probabilité d’exploitation de 92 % : comment 10 plugins sont devenus le plus grand angle mort de la sécurité d’entreprise

La même connectivité qui a fait du Model Context Protocol (MCP) d’Anthropic la norme d’intégration d’IA la plus rapidement adoptée en 2025 a créé l’angle mort le plus dangereux de la cybersécurité d’entreprise.

Des recherches récentes menées par Pynt quantifient la menace croissante en termes clairs et sans ambiguïté. Leur analyse expose l’effet réseau surprenant des vulnérabilités qui s’aggravent à mesure que de plus en plus de plugins MCP sont utilisés. Le déploiement de seulement dix plugins MCP crée une probabilité d’exploitation de 92 %. Sur trois serveurs interconnectés, le risque dépasse 50 %. Même un seul plugin MCP présente une probabilité d’exploitation de 9 %, et la menace augmente de façon exponentielle à chaque ajout.

Le paradoxe de sécurité des MCP est à l’origine de l’un des risques les plus importants en matière d’IA pour les entreprises

Le principe de conception de MCP a commencé avec un objectif louable : résoudre le chaos de l’intégration de l’IA. Anthropic a choisi de standardiser la façon dont les grands modèles de langage (LLM) se connectent aux outils et sources de données externes, offrant ainsi ce dont toute organisation travaillant avec des modèles et des ressources d’IA avait désespérément besoin : une interface universelle permettant aux agents d’IA d’accéder à tout, des API, des services cloud, des bases de données, et plus encore.

Le lancement d’Anthropic a été si bien orchestré que MCP a immédiatement gagné du terrain auprès de nombreuses sociétés d’IA de premier plan du secteur, notamment Google et Microsoft, qui ont toutes deux rapidement adopté la norme. Aujourd’hui, dix mois seulement après le lancement, plus de 16 000 serveurs MCP sont déployés dans des entreprises Fortune 500 rien que cette année.

Au cœur du paradoxe de sécurité de MCP se trouve sa plus grande force, à savoir une connectivité sans friction et une intégration omniprésente avec le moins de frictions possible. Cet aspect du protocole constitue sa plus grande faiblesse. La sécurité n’était pas intégrée à la conception fondamentale du protocole. L’authentification reste facultative. Les cadres d’autorisation sont arrivés il y a à peine six mois sous forme de mises à jour, des mois après que le protocole ait été largement déployé. La combinaison de ces deux facteurs alimente une surface d’attaque qui s’étend rapidement où chaque nouvelle connexion multiplie les risques, créant un effet réseau de vulnérabilités.

"MCP est livré avec la même erreur que nous avons constatée dans chaque déploiement majeur de protocole : des valeurs par défaut non sécurisées," » prévient Merritt Baer, ​​responsable de la sécurité chez Enkrypt AI et conseiller auprès de sociétés telles qu’Andesite et AppOmni, a déclaré à VentureBeat dans une récente interview. "Si nous n’intégrons pas l’authentification et le moindre privilège dès le premier jour, nous réparerons les violations au cours de la prochaine décennie."

Source: Pynt, rapport sur la quantification de l’exposition au risque dans 281 MCP

Définir le risque compositionnel : comment la sécurité se brise à grande échelle

L’analyse de Pynt sur 281 serveurs MCP fournit les données nécessaires pour illustrer les principes mathématiques qui sont au cœur du risque compositionnel.

Selon leur analyse, 72 % des MCP exposent des fonctionnalités sensibles qui incluent l’exécution de code dynamique, l’accès au système de fichiers et les appels d’API privilégiés, tandis que 13 % acceptent des entrées non fiables telles que le web scraping, les messages Slack, les e-mails ou les flux RSS. Lorsque ces deux facteurs de risque se croisent, comme c’est le cas dans 9 % des configurations MCP réelles, les attaquants obtiennent des voies directes vers des injections rapides, l’exécution de commandes et l’exfiltration de données, souvent sans qu’une seule approbation humaine soit requise. Ce ne sont pas des vulnérabilités hypothétiques ; il s’agit de chemins d’exploitation réels et mesurables, cachés dans les configurations MCP quotidiennes.

"Lorsque vous vous connectez à un serveur MCP, vous ne faites pas seulement confiance à votre propre sécurité, vous héritez de l’hygiène de chaque outil, de chaque identifiant, de chaque développeur de cette chaîne," Baer prévient. "C’est un risque pour la chaîne d’approvisionnement en temps réel."

Source: Pynt, rapport sur la quantification de l’exposition au risque dans 281 MCP

Une base croissante d’exploits réels montre que les vulnérabilités de MCP sont réelles

Les équipes de recherche en sécurité de nombreuses entreprises leaders du secteur poursuivent leurs travaux pour identifier les exploits réels que MCP constate actuellement dans la nature, en plus de ceux qui sont de nature théorique. Le protocole MCP continue de montrer des vulnérabilités accrues dans différents scénarios, les principaux étant les suivants :

CVE-2025-6514 (CVSS 9.6) : Le package MCP-remote, téléchargé plus de 500 000 fois, comporte une vulnérabilité critique permettant l’exécution arbitraire de commandes du système d’exploitation. "Cette vulnérabilité permet aux attaquants de déclencher l’exécution arbitraire de commandes du système d’exploitation sur la machine exécutant MCP-remote lorsqu’elle établit une connexion à un serveur MCP non fiable, lançant ainsi une compromission complète du système." prévient l’équipe de sécurité de JFrog.

La porte dérobée du cachet de la poste MCP: Koi Security a découvert que le package npm postmark-mcp avait été utilisé par un cheval de Troie pour accorder aux attaquants une protection implicite "mode divin" accès au sein des flux de travail d’IA. Dans la version 1.0.16, l’acteur malveillant a inséré une seule ligne de code qui mettait en copie silencieuse chaque e-mail sortant vers son domaine (par exemple, phan@giftshop.club), exfiltrant ainsi efficacement les mémos internes, les factures et les réinitialisations de mots de passe, le tout sans déclencher d’alertes. Comme le disent les chercheurs sur les carpes koï : "Ces serveurs MCP fonctionnent avec les mêmes privilèges que les assistants IA eux-mêmes (accès complet à la messagerie, connexions à la base de données, autorisations API) mais ils n’apparaissent dans aucun inventaire d’actifs, ignorent les évaluations des risques des fournisseurs et contournent tous les contrôles de sécurité, du DLP aux passerelles de messagerie."

Idan Dardikman, co-fondateur et CTO chez Koi Security, écrit dans un récent article de blog exposant à quel point le package npm postmark-mcp est mortel : "Permettez-moi d’être très clair sur quelque chose : les serveurs MCP ne sont pas comme les packages npm classiques. Il s’agit d’outils spécialement conçus pour que les assistants IA puissent les utiliser de manière autonome."

"Si vous utilisez postmark-mcp version 1.0.16 ou ultérieure, vous êtes compromis. Supprimez-le immédiatement et effectuez une rotation de toutes les informations d’identification susceptibles d’avoir été exposées par courrier électronique. Mais plus important encore, auditez chaque serveur MCP que vous utilisez. Posez-vous la question : savez-vous réellement qui a construit ces outils auxquels vous faites confiance pour tout ? " Dardikman écrit. Il termine le post avec des conseils solides : "Restez paranoïaque. Avec les MCP, la paranoïa n’est que du bon sens."

CVE-2025-49596: Oligo Security a exposé une vulnérabilité RCE critique dans l’inspecteur MCP d’Anthropic, permettant des attaques basées sur le navigateur. "En exécutant du code sur la machine d’un développeur, les attaquants peuvent voler des données, installer des portes dérobées et se déplacer latéralement à travers les réseaux," explique Avi Lumelsky, chercheur en sécurité

Sentier des morceaux "Saut de ligne" Attaque: Les chercheurs ont démontré comment les serveurs MCP malveillants injectent des invites via des descriptions d’outils pour manipuler le comportement de l’IA sans jamais être explicitement invoqués. "Cette vulnérabilité exploite l’hypothèse erronée selon laquelle les humains fournissent une couche de défense fiable," note l’équipe.

Les vulnérabilités supplémentaires incluent des attaques par injection rapide détournant le comportement de l’IA, l’empoisonnement des outils, la manipulation des métadonnées du serveur, les faiblesses d’authentification où les jetons passent par des proxys non fiables et les attaques de la chaîne d’approvisionnement via des packages NPM compromis.

L’écart d’authentification doit d’abord être comblé

L’authentification et l’autorisation étaient initialement facultatives dans MCP. Le protocole donnait la priorité à l’interopérabilité plutôt qu’à la sécurité, en supposant que les entreprises ajouteraient leurs propres contrôles. Ce n’est pas le cas. L’autorisation OAuth 2.0 est finalement arrivée en mars 2025, affinée vers OAuth 2.1 en juin. Mais des milliers de serveurs MCP déployés sans authentification restent en production.

Une recherche universitaire de l’Université Queen’s a analysé 1 899 serveurs MCP open source et a révélé que 7,2 % contenaient des vulnérabilités générales et 5,5 % présentaient un empoisonnement des outils spécifiques à MCP. L’enquête de Gartner (via l’article Human-Machine Identity Blur d’IBM) révèle que les organisations déploient 45 outils de cybersécurité mais ne gèrent efficacement que 44 % des identités des machines, ce qui signifie que la moitié des identités dans les écosystèmes d’entreprise pourraient être invisibles et non gérées.

Définir une stratégie globale de défense du MCP est un enjeu de taille

La définition d’une stratégie de défense MCP multicouche permet de combler les lacunes laissées dans la structure du protocole d’origine. Les couches définies ici cherchent à rassembler des protections architecturales et des mesures opérationnelles immédiates pour réduire la surface de menace d’une organisation.

Couche 1 : commencez par le domaine le plus faible de MCP, à savoir l’authentification et les contrôles d’accès.

L’amélioration de l’authentification et des contrôles d’accès doit commencer par l’application d’OAuth 2.1 pour chaque passerelle MCP au sein d’une organisation. Gartner note que les entreprises appliquant ces mesures signalent 48 % de vulnérabilités en moins, une adoption par les utilisateurs améliorée de 30 % et une surveillance centralisée des serveurs MCP. "Les passerelles MCP servent d’intermédiaires de sécurité essentiels," écrit le cabinet d’études, en fournissant des catalogues de serveurs unifiés et une surveillance en temps réel.

Couche 2 : Pourquoi les couches sémantiques sont importantes dans la sécurité contextuelle

Les couches sémantiques sont essentielles pour apporter un plus grand contexte à chaque décision d’accès, garantissant ainsi que les agents d’IA fonctionnent uniquement avec des données standardisées, fiables et vérifiables. Le déploiement de couches sémantiques permet de réduire les frais opérationnels, d’améliorer la précision des requêtes en langage naturel et d’offrir la traçabilité en temps réel dont les responsables de la sécurité ont besoin. VentureBeat constate que la pratique consistant à intégrer des politiques de sécurité directement dans l’accès aux données contribue à réduire les risques de violation et à sécuriser les flux de travail d’analyse agentique.

Couche 3 : les graphiques de connaissances sont essentiels pour la visibilité

Par définition, les graphes de connaissances connectent les entités, les actifs analytiques et les processus métier, permettant aux agents d’IA de fonctionner de manière transparente et sécurisée dans un contexte organisationnel. Gartner souligne que cette fonctionnalité est essentielle à la conformité réglementaire, à l’auditabilité et à la confiance, en particulier dans les requêtes et les flux de travail complexes. Merritt Baer souligne l’urgence : "Si vous utilisez MCP aujourd’hui, vous avez déjà besoin de sécurité. Les garde-fous, la surveillance et les journaux d’audit ne sont pas facultatifs : ils font la différence entre l’innovation avec et sans atténuation des risques," conseille Baer.

Plan d’action recommandé pour les responsables de la sécurité

VentureBeat recommande aux responsables de la sécurité qui disposent d’intégrations basées sur MCP actives dans leur organisation de prendre les cinq mesures de précaution suivantes pour sécuriser leur infrastructure :

1. Prenez l’habitude de mettre en œuvre des passerelles MCP en appliquant d’abord OAuth 2.1 et OpenID Connect tout en centralisant l’enregistrement du serveur MCP.

2. Définissez comment votre infrastructure peut prendre en charge une architecture de sécurité en couches avec des couches sémantiques et des graphiques de connaissances aux côtés des passerelles.

3. Transformez l’activité consistant à effectuer des audits MCP réguliers via la modélisation des menaces, la surveillance continue et le red-teaming dans la mémoire musculaire de vos équipes de sécurité, afin que cela se fasse par réflexe.

4. Limitez l’utilisation du plugin MCP aux plugins essentiels uniquement. N’oubliez pas : 3 plugins = 52 % de risque, 10 plugins = 92 % de risque.

5. Investissez dans la sécurité spécifique à l’IA en tant que catégorie de risque distincte au sein de votre stratégie de cybersécurité.