Comment nous avons piraté la plateforme IA de McKinsey

 (codewall.ai)
2 points par GN⁺ 2026-03-12 | 1 commentaires | Partager sur WhatsApp
  • La plateforme IA "Lilli" que McKinsey a construite pour ses employés internes a permis d’obtenir des droits de lecture et d’écriture sur l’ensemble de la base de données via une vulnérabilité accessible sans authentification
  • L’attaque a été menée par un agent de sécurité autonome ; parmi plus de 200 endpoints décrits dans une documentation d’API publique, 22 étaient accessibles sans authentification, et l’intrusion a eu lieu via une injection SQL sur l’un d’eux
  • La base de données contenait des informations internes sensibles, dont 46,5 millions de messages de chat, 728 000 fichiers et 57 000 comptes utilisateurs
  • L’agent a en outre exposé l’ensemble de la structure opérationnelle IA de McKinsey, notamment les paramètres des modèles IA, les prompts système, les fragments de documents RAG et les flux de données d’API externes
  • Cet incident montre que la couche de prompts (prompt layer) s’impose comme une nouvelle surface de vulnérabilité, et que la protection de l’intégrité des instructions devient un enjeu central pour les systèmes IA

Vue d’ensemble de la plateforme Lilli

  • En 2023, McKinsey a mis en place Lilli, une plateforme IA interne destinée à plus de 43 000 employés
    • Elle fournit des fonctions de chat, d’analyse documentaire, de recherche basée sur le RAG et de recherche dans plus de 100 000 documents internes
    • Elle traite plus de 500 000 prompts par mois, et plus de 70 % des employés l’utilisent
  • Le nom de la plateforme vient du prénom de la première femme professionnelle employée par l’entreprise en 1945

Déroulement de l’intrusion

  • Un agent d’attaque autonome a exploré la documentation d’API publique et constaté que, sur plus de 200 endpoints, 22 étaient accessibles sans authentification
  • L’un de ces endpoints enregistrait en base de données les requêtes de recherche utilisateur, et une clé JSON était concaténée directement dans la requête SQL, provoquant une injection SQL
    • Il s’agissait d’une vulnérabilité non détectée par des outils classiques comme OWASP ZAP
  • En 15 requêtes itératives, l’agent a compris la structure des requêtes et extrait les données de production réelles
    • Lorsqu’un premier identifiant d’employé a été exposé, il a enregistré la réaction "WOW!", puis après confirmation de la fuite de données à grande échelle, "This is devastating."

Données exposées

  • 46,5 millions de messages de chat : des conversations sensibles sur la stratégie, les projets clients, la finance, les fusions-acquisitions et la recherche interne étaient stockées en clair
  • 728 000 fichiers : dont 192 000 PDF, 93 000 fichiers Excel, 93 000 PowerPoint et 58 000 documents Word
    • Les noms de fichiers à eux seuls étaient sensibles, et des URL de téléchargement direct existaient
  • Exposition de la structure de 57 000 comptes utilisateurs, 384 000 assistants IA et 94 000 workspaces

Expositions supplémentaires au-delà de la base de données

  • Exposition de 95 prompts système et configurations de modèles IA, couvrant 12 types de modèles
    • Cela incluait les instructions de fonctionnement de l’IA, les garde-fous, les modèles fine-tunés et les détails de déploiement
  • Exposition de 3,68 millions de fragments de documents RAG, ainsi que des chemins S3 et des métadonnées internes
    • Cela incluait des recherches et méthodologies propriétaires de McKinsey accumulées sur plusieurs décennies
  • Flux de données via des API IA externes : exposition de 1,1 million de fichiers, 217 000 messages d’agents et plus de 266 000 vector stores OpenAI
  • En combinant une vulnérabilité IDOR, il était même possible d’accéder à l’historique de recherche de chaque employé

Risques de la couche de prompts

  • L’injection SQL comprenait aussi des droits d’écriture
    • Les prompts système de Lilli étant stockés dans la même base de données, un attaquant pouvait les modifier
    • Il était possible de changer les consignes de comportement de l’IA avec une seule requête HTTP
  • Impacts potentiels
    • Conseils manipulés : risque d’altération des modèles financiers ou des recommandations stratégiques
    • Fuite de données : possibilité d’insérer des informations internes dans les réponses de l’IA pour les exposer à l’extérieur
    • Suppression des garde-fous : possibilité d’ignorer les contrôles d’accès et d’exposer des données internes
    • Persistance furtive : seul le comportement de l’IA est modifié, sans logs ni changements de code
  • Les prompts sont des actifs de grande valeur moins bien gérés côté sécurité que le code ou les serveurs, avec très peu de contrôle d’accès, de gestion de versions ou de vérification d’intégrité
  • Conclusion avancée : « Les prompts IA sont le nouveau joyau de la couronne (Crown Jewel) »

Portée de l’incident

  • Bien que McKinsey dispose de capacités techniques mondiales et d’investissements importants en sécurité, une injection SQL classique était présente dans un système exploité depuis deux ans
  • L’agent autonome a exploré et amplifié en chaîne des vulnérabilités qu’un scanner fondé sur des checklists n’avait pas détectées
  • CodeWall est la plateforme de sécurité autonome ayant mené cette attaque, et fournit des tests de sécurité basés sur l’IA pour vérifier en continu les surfaces d’attaque réelles

Calendrier de divulgation

  • 2026-02-28 : l’agent autonome découvre l’injection SQL et commence l’énumération de la base de données
  • 2026-02-28 : confirmation de toute la chaîne d’attaque, documentation de 27 vulnérabilités
  • 2026-03-01 : transmission à l’équipe sécurité de McKinsey d’un résumé des impacts
  • 2026-03-02 : accusé de réception du CISO de McKinsey, avec demande de preuves détaillées
  • 2026-03-02 : McKinsey corrige tous les endpoints non authentifiés, met l’environnement de développement hors ligne et bloque la documentation d’API publique
  • 2026-03-09 : annonce publique

À lire aussi

1 commentaires

 
GN⁺ 2026-03-12
Commentaires sur Hacker News

  • Je connais un peu la situation en interne, et Lilli était encore un système réservé à l’usage interne il y a un an
    Il fallait passer par toutes les procédures de sécurité, comme le VPN et le SSO, mais je ne sais pas quand c’est devenu public
    McKinsey doit même faire appel à des prestataires externes de tests d’intrusion pour de petits tests internes
    Ce genre d’erreur est compréhensible du point de vue des développeurs de Lilli. Il faut que plusieurs mécanismes de sécurité échouent en même temps pour qu’un endpoint accessible depuis l’extérieur soit exposé
    Mais ici, c’était une erreur d’un niveau d’authentification proche de zéro
    Il est très probable qu’un associé senior ait usé de son influence pour rendre Lilli public
    À ce moment-là, la plupart de l’équipe d’origine était déjà partie sur d’autres projets, et comme les projets internes sont pénalisés dans les évaluations, les personnes restantes n’étaient pas motivées
    Au final, c’est un échec de la culture technique de McKinsey

    • McKinsey a une structure bizarrement complexe. Tout le monde est évalué sur le « client impact », donc chacun fonctionne en mode sauve-qui-peut
      Les développeurs travaillent sans direction claire, et dès qu’un partner lance une idée, tout le monde se précipite dessus pour en tirer du crédit dans son évaluation
      Mais avant même la fin du projet, le partner est déjà passé à autre chose, et ceux qui restent n’ont plus aucune raison de terminer
      Résultat, la plupart des produits ressemblent à des collections d’idées improvisées par la direction
      Traiter le logiciel comme une mission de conseil de six mois, ça ne peut que mal finir
      Les licenciements massifs d’ingénieurs compétents en 2024 montrent bien leur vision de la technologie
      En plus, cette culture se diffuse dans d’autres entreprises, avec par exemple des UI qui changent en permanence et une culture du résultat à court terme qui se propage
    • En conclusion, si McKinsey n’est même pas capable de gérer correctement sa propre technologie, il ne faut pas lui confier de missions de conseil sur l’adoption de l’IA ou la conception d’organisations techniques
    • Il est aussi possible que Lilli soit devenu public à cause du chatbot de recrutement
      Article lié : McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • Je me demande si c’est pareil chez QuantumBlack. De ce côté-là, au moins, les assets de la plateforme Brix ont l’air à jour
    • Je ne comprends pas pourquoi des cabinets d’expertise comptable ou de conseil en management veulent mettre les mains dans la technologie
      Au fond, on dirait qu’ils veulent juste maintenir quelque chose jusqu’au moment où ça peut être packagé et vendu
      Les solutions d’IA ont une durée de vie courte et évoluent beaucoup trop vite. Si j’ai tort, je veux bien apprendre

  • La fuite de données est un problème, mais le plus effrayant, c’est qu’il y avait aussi un droit d’écriture sur le system prompt
    Une seule requête UPDATE suffisait pour modifier la logique de réponse des 43 000 consultants
    C’était modifiable discrètement, sans déploiement, sans revue de code et sans logs
    De cette manière, même le contenu des conseils stratégiques pourrait être contaminé
    Honnêtement, la plupart des entreprises stockent simplement leurs prompts dans une table Postgres

  • Un endpoint non protégé enregistrait en base de données les requêtes de recherche des utilisateurs ; les valeurs étaient bien paramétrées, mais les clés JSON étaient concaténées directement dans le SQL
    Ce n’était pas du prompt injection, mais une injection SQL tout ce qu’il y a de plus classique

    • Un peu décevant que ce soit une injection SQL aussi banale. Cela dit, le fait qu’elle ait été trouvée par un agent de scan de vulnérabilités basé sur des LLM reste intéressant
    • Je me demande combien de code écrit par des LLM est déjà parti en production avec ce genre d’erreur
      Au final, cela risque surtout d’augmenter la demande en chercheurs en sécurité
    • Même s’il est de bon sens de placer un oauth2-proxy devant tout ce qu’on déploie sur Internet, on ne gagne pas d’argent avec ça, alors qu’Anthropic en gagne des milliards — c’est assez amer

  • Les titres du style « AI agent does X » me gênent un peu
    En réalité, ce sont des pentesters qui ont utilisé un agent IA pour choisir McKinsey comme cible et le tester
    En ce moment, beaucoup de gens finissent par croire que ces systèmes ont une vraie « capacité de décision », donc il faudrait être plus précis dans la formulation

    • Le titre original, « How We Hacked McKinsey's AI Platform », était plus exact
    • À partir du moment où on parle de « agentic systems », on est déjà en train de les anthropomorphiser
    • Au fond, ce n’est qu’un titre racoleur pour faire du clic
    • Le titre a d’ailleurs été remis comme à l’origine (« AI Agent Hacks McKinsey » → retour au titre initial)

  • L’expression « McKinsey & Company — world-class technology teams » est exagérée
    En pratique, ils ne sont pas perçus ainsi

    • Comme c’est sans doute une phrase écrite par un LLM, l’autocongratulation était probablement inévitable
    • McKinsey est bon pour analyser des systèmes et proposer des améliorations, mais l’implémentation est assurée par des équipes de développement externes
      (je dis ça d’après une expérience de travail avec McKinsey dans une grande banque d’investissement)
    • Les équipes techniques ne sont pas de classe mondiale. En revanche, leurs compétences en conseil en management sont de très haut niveau
    • Cela dépend aussi du type de client. Pour des projets d’amélioration de la valeur client, c’est assez ordinaire ; pour des sujets de restructuration ou de corruption, c’est une tout autre histoire

  • Je ne sais pas qui est Codewall AI. Il n’y a aucune déclaration officielle indiquant que McKinsey a réellement appliqué un correctif
    Il y a très peu d’informations, même dans les résultats Google

    • Moi non plus, je n’ai pas d’infos, donc je pense qu’il faudrait des preuves fournies par McKinsey ou par l’équipe sécurité
    • D’après un article de The Register, McKinsey semble l’avoir reconnu
      Article lié
      À noter que le CEO est eth0izzle (GitHub)
    • Codewall a lui-même expliqué : « nous sommes une nouvelle société, McKinsey n’a pas commenté notre billet, mais a répondu à The Register »
    • Si les données divulguées incluaient 58 000 utilisateurs, cela voudrait dire qu’il y avait aussi d’anciens employés, ce qui pourrait entraîner une obligation légale de notification

  • La leçon de cet incident, c’est que les agents IA révèlent rapidement les faiblesses des systèmes internes
    Les outils d’entreprise traditionnels ont été conçus en supposant qu’ils seraient utilisés par des humains, et l’authentification, la revue et les processus jouaient le rôle de lignes de défense implicites
    Mais avec l’arrivée d’agents autonomes, cette couche de protection s’effondre
    À l’avenir, il faudra des couches de validation automatisées — pour contrôler en continu les accès, l’exposition des données et les comportements non intentionnels

  • Cet article est rédigé par un LLM, et certaines informations sont inexactes
    Cela signifie qu’il n’y a pas eu de relecture humaine suffisante, donc la fiabilité de l’article dans son ensemble est faible

  • « Plus de 200 API documentées publiquement, dont 22 accessibles sans authentification »
    Cette seule phrase explique tout

  • Je me souviens qu’une équipe de McKinsey poussait fortement Watson il y a quelques années. Ce fut un échec total
    Depuis longtemps, il n’y a autour de l’IA chez eux que du battage marketing, sans substance réelle
    Je ne sais pas pour les autres sujets, mais quand quelqu’un de chez McKinsey parle d’IA, il faut prendre ses jambes à son cou