Mercor : 4 To de données IA volées via LiteLLM empoisonné

Synthèse de l'incident

Le 27 mars 2026, le groupe TeamPCP a compromis le pipeline CI/CD de LiteLLM, un proxy open-source pour les APIs de modèles de langage téléchargé 97 millions de fois par mois sur PyPI. Des versions malveillantes ont été publiées sur PyPI pendant environ 40 minutes avant d'être détectées et retirées.

Mercor, startup IA valorisée à 10 milliards de dollars spécialisée dans le recrutement par intelligence artificielle, a téléchargé la version compromise via son pipeline de déploiement automatique. Lapsus$ a ensuite revendiqué le vol de 4 To de données.

40 minutes. C'est le temps pendant lequel la version malveillante de LiteLLM était disponible sur PyPI. 40 minutes ont suffi pour compromettre une licorne de l'IA.

Chronologie de l'attaque

Phase 1 : Compromission de LiteLLM

TeamPCP a exploité une vulnérabilité dans le pipeline CI/CD de LiteLLM pour injecter du code malveillant dans le processus de build. Le code ajouté établissait un reverse shell et exfiltrait les variables d'environnement, incluant les clés API des services cloud.

• 27 mars, 14h12 UTC : publication des versions malveillantes sur PyPI
• 27 mars, 14h52 UTC : détection et retrait des versions compromises
• 27-31 mars : exploitation des accès obtenus chez Mercor
• 1er avril : Lapsus$ publie la revendication sur son site de leak

Phase 2 : Exfiltration chez Mercor

Les clés API récupérées ont permis à l'attaquant d'accéder à l'infrastructure cloud de Mercor. L'exfiltration a ciblé les bases de données de profils candidats, les répertoires de code source et les systèmes de stockage des vidéos d'entretiens IA.

Données compromises

Le volume revendiqué par Lapsus$ est considérable — 4 To de données :

• Profils candidats complets : CV, compétences, historiques de candidatures, évaluations IA
• Données personnelles identifiables (PII) : noms, emails, numéros de téléphone, adresses
• Code source : algorithmes de matching IA, modèles propriétaires, logique métier
• Clés API : accès aux services cloud, tokens d'authentification
• Vidéos d'entretiens IA : enregistrements vidéo des sessions d'évaluation automatisée

Conséquences immédiates

Réactions business

Meta, l'un des principaux clients de Mercor pour le recrutement de talents IA, a gelé l'ensemble de ses contrats avec la startup dans les 48 heures suivant la divulgation. D'autres entreprises technologiques ont suivi, remettant en question la sécurité des données confiées à Mercor.

Actions juridiques

Cinq procès ont été engagés dans les jours suivant l'incident :

• Deux class actions au nom des candidats dont les données personnelles ont été exposées
• Une action de Meta pour rupture des obligations contractuelles de sécurité
• Deux plaintes de candidats individuels pour violation de la vie privée (vidéos d'entretiens)

Impact sur la valorisation

Mercor, qui venait de lever 2 milliards de dollars sur une valorisation de 10 milliards, fait face à une crise de confiance majeure. Les investisseurs institutionnels ont demandé un audit de sécurité indépendant et le conseil d'administration a convoqué une session extraordinaire.

LiteLLM : un point unique de défaillance

Pourquoi LiteLLM est critique

LiteLLM est devenu un composant essentiel de l'écosystème IA : il permet d'abstraire les différences entre les APIs des modèles (OpenAI, Anthropic, Mistral, etc.) derrière une interface unifiée. Avec 97 millions de téléchargements mensuels, une compromission de LiteLLM affecte potentiellement des milliers d'entreprises.

La fenêtre de 40 minutes

La version malveillante n'est restée que 40 minutes sur PyPI. Mais dans l'écosystème Python, où les pipelines de déploiement téléchargent automatiquement les dernières versions, 40 minutes suffisent largement. Les systèmes qui utilisent pip install litellm sans épinglage de version ont été exposés.

97 millions de téléchargements par mois. Même 40 minutes d'exposition représentent des milliers de déploiements potentiellement compromis.

Le problème spécifique des startups IA

L'incident Mercor met en lumière un problème systémique dans l'écosystème des startups IA :

• Course à la vitesse : les déploiements rapides priment souvent sur la sécurité. Les mises à jour automatiques sans vérification sont la norme
• Dépendances massives : une application IA typique dépend de dizaines de packages Python, chacun étant un vecteur d'attaque potentiel
• Données ultra-sensibles : les plateformes IA de recrutement manipulent des PII, des vidéos, des évaluations — des données dont la fuite a un impact maximal
• Sécurité sous-dimensionnée : même à 10 Md$ de valorisation, les équipes sécurité sont souvent réduites face à la croissance

Recommandations

Pour les équipes IA et ML

• Épingler toutes les dépendances : utiliser pip freeze et des lock files. Ne jamais déployer en production avec des versions flottantes
• Vérifier les hash des packages : utiliser pip install --require-hashes pour garantir l'intégrité des packages téléchargés
• Isoler les environnements : les pipelines ML ne doivent pas avoir accès aux clés de production. Utiliser des environnements éphémères pour les builds
• Auditer les dépendances critiques : LiteLLM, LangChain, et autres frameworks IA doivent faire l'objet d'une surveillance particulière

Pour les startups en hypercroissance

• Intégrer la sécurité dès le début : une équipe sécurité n'est pas un luxe, c'est une obligation — surtout quand on manipule des PII
• Chiffrer les données au repos : les vidéos d'entretiens, les CV, les évaluations doivent être chiffrés avec des clés gérées par un KMS
• Prévoir un plan de réponse à incident : quand la crise arrive, il est trop tard pour improviser

Enseignements clés

L'incident Mercor démontre que la supply chain logicielle IA est désormais une cible prioritaire. Les attaquants ont compris que compromettre un seul package Python utilisé massivement dans l'écosystème IA permet d'atteindre des dizaines de cibles de grande valeur.

La fenêtre d'exposition de 40 minutes illustre également l'inadéquation des mécanismes de détection actuels : quand un package malveillant peut être déployé en production avant même d'être signalé, la défense doit se concentrer sur la prévention (épinglage, vérification de hash) plutôt que sur la détection.

4 To de données, 5 procès, Meta qui gèle ses contrats. Le coût d'un pip install sans vérification peut se chiffrer en milliards.

Sources

• Lapsus$ Leak Site — Revendication Mercor (avril 2026)
• LiteLLM — Security Advisory: Compromised PyPI Packages
• TechCrunch — Mercor Data Breach: 4TB Stolen via Supply Chain Attack
• Meta — Statement on Mercor Contract Suspension