MCP

🗞️ Contexte Article d’opinion publié le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands éditeurs d’IA face aux vulnérabilités découvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont démontré que trois agents IA populaires intégrés à GitHub Actions peuvent être détournés pour voler des clés API et des jetons d’accès : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois éditeurs ont versé des bug bounties : ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une alerte de sécurité concernant CVE-2026-33032, une vulnérabilité critique affectant Nginx UI, une interface web open-source de gestion centralisée des configurations Nginx et des certificats SSL. 🐛 Description de la vulnérabilité Type : Authentification manquante (Missing Authentication) Score CVSS : 9.8 (critique) Composant exposé : Serveur Model Context Protocol (MCP) intégré à Nginx UI Condition d’exploitation : La configuration par défaut de la liste blanche IP autorise tout accès distant au serveur MCP Impact : Un attaquant non authentifié peut exécuter des opérations privilégiées sur les serveurs Nginx gérés, aboutissant à un contrôle total du service Nginx 📅 Chronologie Début mars 2026 : Découverte par Yotam Perkal (chercheur chez Pluto Security) 15 mars 2026 : Patch publié + blog technique de Pluto Security 30 mars 2026 : Advisory de sécurité officiel publié 13 avril 2026 : Recorded Future signale une exploitation active in the wild 16 avril 2026 : Publication de l’alerte Rapid7 🎯 Versions affectées Selon le chercheur : versions 2.3.3 et antérieures (correctif en 2.3.4) Selon l’enregistrement CVE officiel : versions 2.3.5 et antérieures Version recommandée pour remédiation : 2.3.6 (dernière version disponible) 📌 Type d’article Alerte de sécurité publiée par Rapid7, visant à informer les utilisateurs de Nginx UI de l’existence d’une exploitation active et à orienter vers la mise à jour corrective. ...

📊 Contexte Publié le 24 mars 2026 par GitGuardian, le rapport annuel State of Secrets Sprawl 2026 (5ème édition) analyse la prolifération des secrets (credentials, API keys, tokens) dans les dépôts publics et privés, les outils collaboratifs et les environnements locaux. Il s’appuie sur l’analyse de commits GitHub publics, de datasets de machines compromises et de configurations d’infrastructure IA. 🔑 Chiffres clés sur GitHub public 28,65 millions de nouveaux secrets hardcodés ajoutés aux commits GitHub publics en 2025 (+34% YoY, plus forte hausse jamais enregistrée) 1,94 milliard de commits publics en 2025 (+43% YoY) Base de développeurs actifs en hausse de 33% 🤖 Explosion des fuites liées à l’IA 1 275 105 secrets de services IA détectés en 2025, soit +81% YoY 113 000 clés API DeepSeek exposées citées comme exemple 8 des 10 détecteurs à la croissance la plus rapide sont liés à des services IA L’infrastructure LLM (orchestration, RAG, vector storage) fuite 5× plus vite que les fournisseurs de modèles core Les commits assistés par Claude Code affichent un taux de fuite de 3,2% vs 1,5% en baseline ⚙️ Fuites dans les configurations MCP 24 008 secrets uniques exposés dans des fichiers de configuration MCP sur GitHub public 2 117 credentials valides uniques identifiés (8,8% des findings MCP) Les guides de documentation officiels encouragent souvent des patterns non sécurisés (API keys en dur dans les fichiers de config) 🏢 Dépôts internes et outils collaboratifs Les dépôts internes sont 6× plus susceptibles de contenir des secrets hardcodés que les dépôts publics 28% des incidents proviennent entièrement hors des dépôts (Slack, Jira, Confluence) Les fuites hors code sont 13 points de pourcentage plus susceptibles d’être classées critiques 💻 Machines développeurs et CI/CD Analyse du dataset Shai-Hulud 2 : 6 943 machines compromises, 294 842 occurrences de secrets, 33 185 secrets uniques 59% des machines compromises étaient des runners CI/CD (pas des postes personnels) Les agents IA avec accès local (terminaux, variables d’environnement, credential stores) élargissent la surface d’attaque ⏳ Lacunes de remédiation 64% des secrets valides de 2022 sont encore actifs et exploitables en janvier 2026 46% des secrets critiques sont manqués par une priorisation basée uniquement sur la validation automatique 📌 Type d’article Rapport de recherche annuel à visée CTI et sensibilisation, publié par GitGuardian pour quantifier l’ampleur de la prolifération des secrets dans les environnements de développement modernes, avec focus sur l’impact de l’IA générative. ...

Selon ZDNET, Data.gouv (le portail français de l’open data) déploie à titre expérimental un serveur MCP (Model Context Protocol) afin de permettre l’interrogation des données publiques en langage naturel via un chatbot, avec un accès strictement en lecture. L’objectif affiché est d’évaluer ce que MCP apporte à l’accès aux données publiques tout en restant prudent sur ses limites, et de faciliter des interactions plus contextualisées sans multiplier les intégrations spécifiques. À ce stade, toute modification/édition des jeux de données est interdite. À terme, Data.gouv ambitionne de tester des usages d’édition et de publication, avec prudence et en s’appuyant sur des modèles souverains (sans calendrier précisé). ...

Selon cyberandramen.net, un serveur mal configuré exposé début février 2026 (avec un précédent en décembre 2025) a révélé l’outillage complet d’une opération d’intrusion active ciblant des organisations sur plusieurs continents. La singularité de cette campagne réside dans l’intégration d’un pipeline LLM au cœur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallèle. 🚨 Principales constatations. Un répertoire ouvert a exposé un arsenal opérant avec des victimes confirmées dans au moins 5 pays. L’opération automatise la création de portes dérobées sur des appliances Fortinet FortiGate, se connecte aux réseaux victimes, cartographie l’infrastructure interne, puis transmet les résultats à des LLM pour analyse. DeepSeek génère des plans d’attaque, tandis que Claude Code produit des évaluations de vulnérabilité et est configuré pour exécuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramètres contenant des identifiants d’un grand média asiatique. Un serveur MCP inédit (« ARXON ») sert de pont vers les modèles et maintient une base de connaissance croissante par cible. Entre décembre et février, l’acteur est passé d’un outil MCP open source (HexStrike) à un système d’exploitation pleinement automatisé (ARXON + CHECKER2). Des logs indiquent que le serveur source a été utilisé pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmés touchent une société de gaz industrielle en Asie-Pacifique, un opérateur télécom en Turquie et le média asiatique mentionné, avec des reconnaissances additionnelles visant la Corée du Sud, l’Égypte, le Vietnam et le Kenya. ...

Selon LayerX (par Roy Paz), une vulnérabilité d’exécution de code à distance (RCE) sans clic affecte les extensions Claude Desktop (MCP), permettant à un événement Google Agenda malveillant de déclencher l’exécution de code local avec privilèges. L’impact concerne plus de 10 000 utilisateurs actifs et environ 50 extensions DXT, avec un score CVSS de 10/10. ⚠️ Nature du problème: Les extensions Claude Desktop (serveurs MCP) s’exécutent sans sandbox et avec des privilèges système complets. Claude peut chaîner automatiquement des connecteurs à faible risque (ex. Google Agenda) vers des exécutables locaux à haut risque, sans consentement utilisateur. Cette violation des limites de confiance permet de transférer des données issues d’une source bénigne vers un contexte d’exécution privilégié. ...

🔧 Contexte Publié le 02/04/2026 sur GitHub, WinDbg MCP est un projet open source qui expose l’intégralité des fonctions du débogueur Windows pybag/WinDbg sous forme d’outils natifs MCP (Model Context Protocol). Il s’adresse aux développeurs, chercheurs et agents IA souhaitant automatiser l’analyse de processus, de sessions kernel ou de crash dumps. ⚙️ Fonctionnement technique Le serveur s’exécute comme un processus stdio local et communique via JSON-RPC 2.0. Il expose 55 outils couvrant : ...

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Selon Black Hills Information Security (BHIS), dans un contexte d’« Emerging Technology Security », le Model Context Protocol (MCP) — un standard ouvert d’Anthropic pour relier des applications LLM à des données et outils externes — introduit des risques notables en raison d’un manque de contrôles de sécurité intégrés. Le protocole MCP adopte une architecture client–serveur où les clients LLM utilisent JSON-RPC pour solliciter des capacités auprès de serveurs MCP via trois briques : Tools (fonctions exécutables), Resources (données en lecture seule) et Prompts (gabarits d’instructions). Les vulnérabilités découlent d’une confiance implicite, de l’absence de validation d’entrées et de l’inexistence de contrôles d’accès natifs. Le design favorise la fonctionnalité en connectant des systèmes probabilistes (LLM) à des outils déterministes sans frontières de confiance imposées. ...

Selon Koi Security, des chercheurs ont identifié un deuxième package serveur MCP malveillant en une semaine, révélant une menace grandissante de chaîne d’approvisionnement visant les outils de développement IA. Le package npm @lanyer640/mcp-runcommand-server, d’abord publié comme légitime, a été ultérieurement armé tout en conservant ses fonctionnalités pour gagner la confiance et contourner les tests. Le package implémente une architecture à double porte dérobée: (1) un hook preinstall s’exécutant lors de npm install/npx qui ouvre immédiatement un shell inversé vers 45.115.38.27:2333 ; (2) une backdoor runtime qui, au lancement du serveur MCP, génère un shell interactif caché avec connexion TCP persistante. Malgré ces capacités, la fonctionnalité légitime de run_command est maintenue pour échapper à la détection. ...