Mercor piraté : les secrets d’entraînement de Meta, OpenAI et Anthropic exposés

par

Meta a gelé tous ses projets avec Mercor, le géant de la data IA valorisé 10 milliards $, après une attaque supply chain qui a exposé les secrets d’entraînement des plus grands modèles d’IA au monde. OpenAI et Anthropic enquêtent. Plus de 40 000 personnes sont touchées par un class action.

Mercor : la startup invisible qui nourrit les modèles IA

Mercor n’est pas un nom grand public. Pourtant, cette startup de San Francisco fondée en 2023 par trois amis d’enfance — Brendan Foody, Adarsh Hiremath et Surya Midha — est devenue l’un des maillons les plus critiques de l’industrie IA. Son métier : recruter des réseaux massifs de contractuels humains (ingénieurs, médecins, juristes, journalistes) pour générer des datasets d’entraînement sur mesure pour les plus grands labos d’IA.

Ses clients ? Meta, OpenAI, Anthropic et Google. En octobre 2025, Mercor a bouclé un tour de 350 millions $ Series C, portant sa valorisation à 10 milliards $ et faisant de ses trois fondateurs les plus jeunes milliardaires self-made au monde, à 22 ans. Son chiffre d’affaires annualisé : 500 millions $.

Ces données sont ultra-sensibles car elles révèlent comment les labos entraînent leurs modèles — le genre d’information que les concurrents (y compris chinois) paieraient cher pour obtenir.

L’attaque : un package Python empoisonné

Illustration de l'attaque supply chain LiteLLM — malware injecté dans un package Python
L’attaque LiteLLM : un package Python téléchargé 97 millions de fois par mois, compromis en 40 minutes.

L’attaque ne visait pas Mercor directement. Le groupe de hackers TeamPCP a d’abord compromis Trivy, un scanner de sécurité open source, pour obtenir les credentials d’un mainteneur de LiteLLM — une bibliothèque Python utilisée par des millions de développeurs pour connecter leurs applications aux services IA (97 millions de téléchargements mensuels, présente dans 36 % des environnements cloud).

Le 27 mars 2026, TeamPCP a publié deux versions malveillantes sur PyPI (le dépôt officiel de packages Python) : LiteLLM 1.82.7 et 1.82.8. Les paquets ont été disponibles environ 40 minutes avant d’être détectés et retirés.

Mais 40 minutes ont suffi. Le payload était redoutable :

  • Version 1.82.7 : malware encodé en base64 directement dans le code du proxy, exécuté à l’import
  • Version 1.82.8 : fichier .pth malveillant qui se déclenche automatiquement à chaque démarrage Python
  • Données volées : variables d’environnement, clés API, clés SSH, credentials cloud (AWS, Google Cloud, Azure), configs Kubernetes, secrets CI/CD, credentials base de données
  • Exfiltration : tout envoyé vers un serveur contrôlé par les attaquants (models.litellm[.]cloud)

4 téraoctets de données exposées

Mercor a confirmé être « l’une des milliers d’entreprises » touchées par l’attaque. Mais l’ampleur de la fuite est massive : selon les documents judiciaires et les revendications des hackers, environ 4 téraoctets de données ont été exposés, dont :

  • 939 Go de code source de la plateforme
  • 211 Go de base de données utilisateurs
  • ~3 To de vidéos et autres données (potentiellement des données d’entraînement IA)

Un groupe se faisant appeler Lapsus$ (un nom réutilisé par plusieurs acteurs cybercriminels) a mis en vente ces données sur Telegram et BreachForums. Selon les analystes de ReversingLabs, l’attaquant réel est probablement TeamPCP ou un acteur lié au groupe.

Meta gèle, OpenAI enquête, 40 000 personnes touchées

Les conséquences sont immédiates :

  • Meta a suspendu indéfiniment tous ses projets avec Mercor, selon deux sources confirmées à Wired. Les contractuels affectés aux projets Meta ne peuvent plus facturer d’heures — ils se retrouvent potentiellement sans travail.
  • OpenAI n’a pas stoppé ses projets en cours mais enquête activement sur l’incident. La société affirme que les données utilisateurs ne sont pas affectées.
  • Anthropic n’a pas répondu aux demandes de commentaire.
  • Un class action a été lancé, touchant plus de 40 000 personnes dont les données personnelles ont été exposées.

Le projet spécifique de Meta chez Mercor, nommé en interne « Chordus », visait à entraîner les modèles IA à utiliser plusieurs sources internet pour vérifier leurs réponses. Les contractuels n’ont pas été informés de la raison exacte de la pause — on leur a simplement dit que Mercor « réévaluait la portée du projet ».

Le vrai danger : les secrets d’entraînement IA

Au-delà des données personnelles, c’est la fuite potentielle des méthodologies d’entraînement qui inquiète le plus l’industrie. Mercor et ses concurrents (Scale AI, Surge, Labelbox) sont connus pour leur secret absolu sur les services qu’ils offrent aux labos IA. Leurs PDG ne parlent jamais publiquement des projets spécifiques, et des noms de code internes sont utilisés systématiquement.

Si les données volées contiennent les instructions de fine-tuning, les critères de RLHF (Reinforcement Learning from Human Feedback) ou les protocoles d’évaluation utilisés par Meta ou OpenAI, un concurrent — y compris un labo chinois — pourrait reproduire ou accélérer le développement de modèles rivaux.

Wired précise toutefois qu’« il n’est pas clair à ce stade si les données exposées dans la brèche de Mercor aideraient significativement un concurrent ».

Ce que ça révèle : la fragilité de la chaîne d’approvisionnement IA

Cette affaire illustre une vulnérabilité structurelle de l’écosystème IA. Les plus grands labos au monde — Meta, OpenAI, Anthropic, Google — dépendent d’une chaîne de sous-traitants qui gèrent leurs données les plus sensibles. Et ces sous-traitants, à leur tour, dépendent de packages open source maintenus par des individus ou de petites équipes.

Le scénario est limpide : TeamPCP a compromis un scanner de vulnérabilités (Trivy) → a volé des credentials → a empoisonné LiteLLM sur PyPI → a touché Mercor → a potentiellement accédé aux secrets d’entraînement de Meta, OpenAI et Anthropic. Quatre maillons, un seul point de défaillance initial.

C’est le même type d’attaque en cascade que SolarWinds en 2020, mais appliqué à l’écosystème IA. Et les enjeux sont peut-être encore plus élevés.

Notre analyse

Cette brèche Mercor est un signal d’alarme pour toute l’industrie IA. Voici ce qu’il faut retenir :

  • Le maillon faible n’est pas l’IA, c’est l’humain et l’open source. Les modèles les plus avancés au monde sont protégés par des milliards $ de sécurité — mais leurs données d’entraînement transitent par des startups qui utilisent des dépendances non épinglées dans leurs pipelines CI/CD.
  • 97 millions de téléchargements/mois. LiteLLM est omniprésente. 40 minutes de disponibilité du package malveillant suffisent à toucher des milliers d’organisations.
  • Le modèle de sous-traitance IA est un risque systémique. Quand Meta, OpenAI ET Anthropic dépendent tous du même fournisseur de données, une seule brèche menace l’ensemble de l’industrie.
  • La course à l’IA est aussi une course à la sécurité. Les labos investissent des milliards dans la recherche, mais la sécurité de leur supply chain n’a clairement pas suivi au même rythme.
LiteLLM : l’attaque supply chain expliquée en détail (vidéo en français)

Sources

Laisser un commentaire