Model Context Protocol (MCP) est la norme ouverte émergente qui permet aux modèles d'IA de se connecter à des outils et sources de données externes.
Vous pouvez considérer MCP comme un USB‑C pour l'IA : il standardise la façon dont un grand modèle de langage (LLM) interagit avec des services, tels que des bases de données, des API Web, des outils de fichiers, etc.
Essentiellement, un LLM, l'hôte MCP, intègre un client MCP qui assure l'établissement d'une connexion individuelle avec un serveur MCP, fournissant des fonctions spécifiques.
Le LLM ne communique jamais directement avec le monde extérieur : toutes les demandes passent par cette couche client-serveur. MCP connaît une croissance exponentielle, les chercheurs ayant découvert environ 20 000 implémentations de serveurs MCP sur GitHub.
Ils permettent de nouveaux flux de travail d'IA agentique, par exemple un robot de support IA qui peut interroger le solde du compte d'un client ou mettre à jour une base de données à l'aide de MCP.
Cela dit, tout n’est pas qu’un rayon de soleil et, comme vous pouvez l’imaginer, tout ce qui implique les LLM s’accompagne de nouveaux défis en matière de sécurité.
De par sa conception, MCP confie les décisions de sécurité, telles que l'authentification et la validation des entrées, aux développeurs de chaque serveur et client. Dans la plupart des premières implémentations, la sécurité n'était pas intégrée par défaut.
Ci-dessous, nous explorerons ce que signifie la sécurité MCP pour les applications basées sur l'IA.
Principaux risques de sécurité MCP
Il existe plusieurs principaux risques de sécurité MCP. Par exemple, les chercheurs ont noté que certaines premières sessions MCP divulguaient des jetons sensibles dans les chaînes de requête URL.
Et le plus important est probablement qu'un serveur MCP n'est qu'un code exécutable. L'analyse de Red Hat prévient que « Les serveurs MCP sont composés de code exécutable, les utilisateurs ne doivent donc utiliser que des serveurs MCP en qui ils ont confiance » (et idéalement ont été signés cryptographiquement).
Essentiellement, cela signifie que MCP étend la surface d’attaque de l’IA. Toute faille dans un serveur MCP ou dans ses définitions d'outils peut induire un LLM en erreur et lui faire commettre des actions nuisibles. Ou, plus encore, il y a des gens qui font délibérément cela aux LLM.
Ce risque est amplifié par l’échelle. Une étude indépendante montre que le trafic des robots IA a été multiplié par 4,5 en 2025, les requêtes automatisées dépassant désormais le comportement de navigation humain, compromettant fondamentalement la visibilité, la gouvernance et les contrôles de sécurité traditionnels.
Les experts en sécurité ont identifié plusieurs problèmes à haut risque dans les déploiements MCP. Parmi eux figurent :
- Intoxication de la chaîne d’approvisionnement et des outils : Du code ou des invites malveillants peuvent être injectés dans les serveurs MCP ou dans les métadonnées de leurs outils.
- Vulnérabilités de la gestion des informations d'identification : L'étude à grande échelle d'Astrix a révélé que près de 88 % des serveurs MCP nécessitent des informations d'identification, mais que 53 % d'entre eux s'appuient sur des clés API statiques ou PAT de longue durée, et seulement environ 8,5 % utilisent une délégation moderne basée sur OAuth.
- Attaques trop permissives de « député confus » : MCP ne transporte pas automatiquement l'identité de l'utilisateur sur le serveur. Si un serveur MCP dispose d'autorisations puissantes, un attaquant peut tromper le LLM pour qu'il l'invoque en son nom.
- Injection d'invite et de contexte : Une injection rapide peut tromper un LLM autonome, mais MCP introduit des variantes plus sophistiquées. Un attaquant peut subtilement empoisonner une source de données ou un fichier, par exemple en insérant une invite malveillante invisible, de sorte que lorsque l'agent le récupère à partir du MCP, l'instruction nuisible soit exécutée avant même que l'utilisateur ne voie une réponse.
- Serveurs tiers non vérifiés : Des centaines de serveurs MCP, pour GitHub, Slack, etc., existent en ligne, et n'importe quel développeur peut en installer un à partir d'un registre public, créant ainsi les menaces typiques de la chaîne d'approvisionnement.
Pris ensemble, ces risques montrent clairement que MCP ne peut pas être sécurisé avec les seuls contrôles traditionnels des API ou des applications.
Construit sur mesure Solutions de sécurité MCP Des solutions émergent pour relever ces défis, en offrant une visibilité sur les interactions agent-outil, en appliquant le moindre privilège, en validant les serveurs tiers et en détectant les comportements MCP malveillants ou anormaux au moment de l'exécution.
Pression des robots IA sur les entreprises numériques
Les risques de sécurité introduits par MCP se heurtent à une forte augmentation des Trafic de robots piloté par l'IAen particulier dans le domaine du commerce électronique et des services en ligne à fort trafic.
À mesure que les agents d’IA deviennent plus performants, ils sont de plus en plus utilisés pour intensifier les abus qui étaient autrefois manuels (trucage d’informations d’identification, grattage, création de faux comptes et scalping d’inventaire) à des volumes sans précédent.
Les données du secteur montrent que le trafic des robots d’exploration et des agents IA a considérablement augmenté. Par exemple, parmi la clientèle de DataDome, les robots LLM sont passés d'environ 2,6 % de toutes les demandes de robots à plus de 10,1 % entre janvier et août 2025.
Pendant les périodes de pointe de vente au détail, cette activité s'intensifie encore, amplifiant les tentatives de fraude et mettant les flux de connexion, les formulaires et les pages de paiement sous une pression soutenue.
Ce sont précisément les domaines dans lesquels les utilisateurs soumettent leurs informations d’identification et leurs données de paiement, ce qui en fait des cibles de grande valeur pour les attaques automatisées.
De nombreuses organisations restent mal défendues. Des tests à grande échelle sur des sites Web populaires révèlent que seule une petite fraction peut arrêter de manière fiable les abus automatisés, tandis que la majorité ne parvient pas à bloquer même les robots scriptés de base – sans parler des agents d’IA adaptatifs qui imitent le comportement humain.
Cet écart met en évidence la rapidité avec laquelle les anciens contrôles basés sur les signatures prennent du retard.
Des plates-formes telles que DataDome montrent comment les défenses modernes évoluent vers une analyse du trafic basée sur l'intention, en utilisant des signaux comportementaux pour distinguer l'automatisation malveillante des utilisateurs légitimes et des agents d'IA approuvés.
Ce modèle permet aux organisations de réagir de manière dynamique à mesure que les modèles d'attaque évoluent, plutôt que de s'appuyer sur des règles statiques ou des empreintes digitales fragiles.
L'atténuation des risques liés aux robots basés sur l'IA nécessite désormais des contrôles plus stricts sur les points d'entrée à haut risque, en particulier la création de comptes, l'authentification et l'envoi de formulaires. Cela nécessite également une détection en temps réel qui peut évoluer parallèlement au trafic automatisé.
DataDome rapporte avoir bloqué chaque année des centaines de milliards d’attaques menées par des robots, soulignant ainsi le défis de sécurité à laquelle nous sommes confrontés et la nécessité d'une protection adaptée à l'IA à mesure que les applications compatibles MCP deviennent courantes.