Il y a à peine six mois, Mercor était une figure emblématique du boom de l’IA. Après un tour de table massif de 350 millions de dollars de série C, la startup de formation aux données d’IA a atteint une valorisation stupéfiante de 10 milliards de dollars. Aujourd’hui, cet élan a été remplacé par une série de crises croissantes suite à une violation majeure des données.
L’anatomie de la brèche
Le 31 mars, Mercor a admis avoir été la cible de pirates informatiques. Depuis, un groupe de hackers affirme avoir exfiltré 4 To de données volées. Bien que Mercor n’ait pas officiellement confirmé l’authenticité des fichiers volés, le vol présumé est dévastateur, comprenant notamment :
- Profils des candidats et informations personnellement identifiables (PII).
- Données des employeurs et dossiers commerciaux sensibles.
- Code source propriétaire et clés API.
La violation aurait été facilitée par une vulnérabilité dans LiteLLM, un outil open source largement utilisé et téléchargé des millions de fois par jour. Pendant une fenêtre de 40 minutes, l’outil contenait un « logiciel malveillant de collecte d’informations d’identification », un logiciel malveillant conçu pour voler les informations de connexion. Cela a créé un effet domino, dans lequel des informations d’identification volées ont été utilisées pour accéder à d’autres logiciels et comptes, permettant ainsi aux attaquants de pénétrer plus profondément dans les systèmes de Mercor.
The Fallout : les géants de l’industrie reconsidèrent leurs partenariats
Dans le monde du développement de l’IA, les sociétés de formation aux données comme Mercor sont plus que de simples fournisseurs de services ; ils sont les gardiens des secrets commerciaux. Ils gèrent les ensembles de données personnalisés et les processus uniques qui permettent aux modélistes de former leur IA. Ce niveau élevé de confiance est la raison pour laquelle des entreprises comme Meta ont déjà travaillé avec Mercor, même après avoir investi 14,3 milliards de dollars dans son concurrent Scale AI.
Cependant, cette confiance est maintenant mise à l’épreuve :
- Meta aurait suspendu indéfiniment ses contrats avec Mercor.
- OpenAI enquête actuellement sur sa propre exposition suite à la violation, bien qu’il n’ait pas mis fin à son partenariat avec Mercor pour le moment.
- D’autres grands développeurs d’IA seraient en train de revoir leurs relations avec l’entreprise alors qu’ils évaluent les risques d’une collaboration continue.
Batailles juridiques et controverse sur la « certification »
La crise passe du domaine numérique aux tribunaux. Au moins cinq sous-traitants ont intenté des poursuites contre Mercor, alléguant la divulgation de leurs données personnelles.
Un procès particulier a introduit un réseau complexe de responsabilités en désignant non seulement Mercor, mais également LiteLLM et Delve comme défendeurs. Cela met en évidence un problème critique, souvent négligé dans le secteur technologique : la fiabilité des certifications de sécurité.
Les certifications de sécurité visent à garantir que les entreprises disposent de processus robustes pour minimiser les menaces, mais elles ne constituent pas un bouclier magique contre les attaques sophistiquées.
L’inclusion de Delve, une startup spécialisée dans la conformité à l’IA, ajoute une couche de controverse. Un lanceur d’alerte a allégué que Delve aurait pu avoir recours à des auditeurs et falsifier des données pour délivrer des certifications de sécurité. Bien que Delve nie ces affirmations, les conséquences ont été importantes, notamment la perte de sa relation avec Y Combinator. En réponse à cet examen minutieux, LiteLLM a abandonné Delve et recherche de nouvelles certifications de sécurité auprès d’un autre fournisseur.
Résumé
Mercor fait actuellement face à une tempête de vols massifs de données, de perte de grandes entreprises clientes et de défis juridiques croissants. Cet incident nous rappelle brutalement à quel point une seule vulnérabilité dans un outil open source populaire peut mettre en péril la sécurité de l’ensemble de l’écosystème de développement de l’IA.
