Après la fuite de données, la licorne Mercor vit un enfer

Date:

La fuite qui a tout déclenché

Six mois après une levée spectaculaire de 350 millions de dollars valorisant Mercor à 10 milliards, la société a reconnu le 31 mars être la cible d’une violation de données. Un groupe de pirates a revendiqué l’exfiltration de 4 To comprenant notamment :

  • profils de candidats et données personnelles identifiable (PII)
  • données employeurs et processus internes
  • code source et clés API

Exemple précis : des informations de candidats et des clés API dites « sensibles » figurent parmi les éléments revendiqués, ce qui entraîne un risque immédiat d’usurpation de comptes et de fuite de secrets industriels.

Le vecteur : l’outil open source LiteLLM

L’incident provient d’une compromission d’une bibliothèque open source, LiteLLM, qui pendant 40 minutes a distribué un malware de récolte d’identifiants. Mécanisme observé :

  • Injection de credential-harvesting dans une version diffusée
  • Vol d’identifiants utilisateurs
  • Mouvement latéral vers d’autres comptes et services

Exemple concret de chaîne d’attaque : un développeur télécharge la version compromise, ses identifiants sont volés, ces identifiants permettent d’accéder à des dépôts privés ou des clés API, puis d’extraire des jeux de données.

Retombées commerciales et réactions des clients

Les conséquences commerciales sont immédiates : Meta a suspendu ses contrats avec Mercor selon des sources, tandis que OpenAI enquête sur son exposition sans avoir, publiquement, suspendu ses relations au moment du rapport. Points clés :

  • Suspension ou réexamen de contrats
  • Perte de confiance des partenaires
  • Risque de recettes compromises (Mercor visait > 1 milliard de dollars de revenus annualisés)

Exemple de contexte : malgré l’acquisition de Scale AI par Meta, Meta continuait de travailler avec Mercor — un indicateur que la rupture des relations peut avoir un impact financier majeur.

Aspects juridiques : plaintes et responsabilités

Au moins cinq sous‑traitants ont déposé des poursuites alléguant l’exposition de leurs données personnelles ; une plainte examine même LiteLLM et Delve comme défendeurs. Points juridiques à retenir :

  • Allégations de divulgation illégale de PII
  • Accusations de négligence dans la gestion des outils tiers
  • Réclamations liées à la falsification ou au mauvais usage des certifications

Exemple cité : une plainte relie LiteLLM à Delve via l’utilisation par LiteLLM de certifications obtenues grâce à Delve, et un lanceur d’alerte évoque des pratiques de certification douteuses.

Certifications, confiance et contrôle qualité

La controverse met en lumière la portée réelle des certifications de sécurité : elles visent à garantir des processus mais ne sont pas une garantie absolue contre les attaques. Chronologie et réactions :

  • Delve dément les accusations mais a engagé des changements opérationnels
  • LiteLLM a quitté Delve, publié un rapport d’incident et recherché un autre prestataire de conformité
  • Y Combinator a rompu ses liens avec Delve

Exemple pratique : une certification doit couvrir audits indépendants, gestion des vulnérabilités et réponse aux incidents ; si ces éléments sont insuffisants ou falsifiés, la valeur de la certification est gravement diminuée.

Que faire pour limiter les dégâts et prévenir l’avenir

L’affaire Mercor illustre des leçons opérationnelles pour toute organisation utilisant des outils open source ou des prestataires externes. Mesures recommandées :

  • Rotation immédiate des clés API et identifiants après suspicion de compromission
  • Application du principe du moindre privilège et segmentation des accès
  • Surveillance de la chaîne d’approvisionnement logicielle (SBOM, scanning de dépendances)
  • Audits réguliers des fournisseurs et vérification des certifications auprès d’auditeurs indépendants
  • Mise en place d’un plan d’intervention et communication transparente aux parties affectées

Exemple opérationnel : après une fuite, forcer la rotation de toutes les clés exposées, révoquer les tokens potentiellement compromis et déclencher des audits pour identifier les accès non autorisés afin de limiter l’impact financier et réputationnel (Mercor faisait face à un risque de revenus supérieurs à 1 milliard, selon des sources).


En savoir plus sur L'ABESTIT

Subscribe to get the latest posts sent to your email.

Share post:

Popular

More like this
Related

Canicule et vigilance rouge : incendie au sud de Paris

Les départements au niveau d’alerte maximal dimanche le resteront lundi, mais onze d’entre eux descendront au niveau orange à partir de 22 heures, a annoncé Météo-France dans son bulletin de 16 heures, précisant que la Haute-Loire passerait à l’inverse du jaune au orange, lundi, à midi....

Gaza : quatre morts dans un bombardement israélien sur un atelier

L’armée israélienne a affirmé qu’elle visait une « infrastructure terroriste » après avoir tiré sur un atelier de métallurgie situé dans un quartier du sud de la ville de Gaza, sans apporter plus d’éléments....

Festival d’Avignon : des artistes interpellent Macron sur les coupes budgétaires

Dimanche, neuf artistes du théâtre, de la danse, du cirque et de la performance, entourés par une quarantaine de créateurs, ont lu un texte adressé au chef de l’Etat devant les 2 000 spectateurs de la Cour d’honneur du Palais des papes....

Le maire d’Aniane agressé pendant la feria, un suspect interpellé

Le maire d'Aniane a été violemment pris à partie dans la nuit de vendredi à samedi 11 juillet lors de la feria. Philippe Salasc a porté plainte et l'agresseur présumé a été interpellé....