En février 2026, une IA de sécurité développée par la startup CodeWall a ciblé et piraté entièrement seule le chatbot interne de McKinsey, le géant du conseil en stratégie. Sans intervention humaine, sans identifiants volés, en seulement deux heures. Le butin ? 46,5 millions de messages sur des fusions-acquisitions et des dossiers clients ultra-sensibles, 728 000 fichiers confidentiels, et la capacité de réécrire les réponses du chatbot pour empoisonner toutes les consultations futures. Soyons honnêtes : si c'était un test de sécurité cette fois, ce scénario illustre une menace bien réelle.
Nous entrons dans l'ère des machines qui attaquent d'autres machines, sans attendre qu'un humain tape des commandes. Et le plus inquiétant, c'est la vitesse : ce qui prenait des jours à un pirate humain s'est déroulé en 120 minutes.
Lilli, le chatbot utilisé par 40 000 consultants McKinsey
Lilli est la plateforme d'IA générative interne de McKinsey, déployée depuis juillet 2023. 72 % des employés du cabinet, soit plus de 40 000 personnes, l'utilisent quotidiennement pour traiter plus de 500 000 questions par mois : recherche de documents internes, analyses de marché, synthèses stratégiques sur des clients.
C'est typiquement le genre d'outil professionnel puissant dont on pourrait rêver dans une PME : un assistant qui connaît toute la mémoire de l'entreprise. Mais qui dit centralisation dit aussi point de défaillance unique. Si le chatbot est compromis, c'est toute la mémoire collective qui devient accessible.
Comment une IA autonome a tout compromis
L'agent IA de CodeWall a mené l'attaque de A à Z sans intervention humaine : choix de la cible (McKinsey avait justement une politique de divulgation responsable publique), reconnaissance, exploitation, extraction des données, et rédaction du rapport.
L'agent a d'abord découvert une documentation d'API publiquement accessible, révélant 22 points d'accès qui ne demandaient aucune authentification. L'un d'eux enregistrait les requêtes des utilisateurs. En analysant les messages d'erreur renvoyés par le système, l'IA a détecté une faille d'injection SQL.
Cette faille permettait non seulement de lire la base de données, mais aussi d'écrire dedans. L'agent pouvait donc modifier les instructions système de Lilli (les « prompts » qui guident son comportement) pour empoisonner silencieusement toutes ses futures réponses, sans modifier une ligne de code, juste avec une commande SQL.
Réaction de McKinsey
CodeWall a signalé la faille le 1er mars. McKinsey a corrigé tous les accès non authentifiés et mis hors ligne l'environnement de développement en moins de 48 heures. Le cabinet assure qu'aucune donnée client n'a été compromise par un tiers malveillant, et qu'une enquête judiciaire a confirmé l'absence d'intrusion antérieure.
Ce qu'il faut en retenir
- Les IA peuvent désormais attaquer d'autres IA, de manière autonome, rapide et méthodique.
- Les chatbots d'entreprise sont des cibles de choix : ils centralisent souvent des informations sensibles (RH, clients, projets stratégiques) et sont parfois déployés rapidement, sans audits de sécurité approfondis.
- Cette attaque était éthique et déclarée. Mais des cybercriminels utilisent déjà ces techniques en vrai, notamment pour du chantage ou du ransomware, selon CodeWall.
- Même un géant comme McKinsey, avec des moyens colossaux, n'est pas à l'abri d'erreurs de conception basiques : des API sans authentification, une injection SQL classique.