Mercor Confirme un Incident de Sécurité Lié à la Compromission de LiteLLM
Mercor, la startup de recrutement spécialisée dans l’expertise pour l’entraînement de modèles d’intelligence artificielle, a officiellement confirmé avoir été touchée par une attaque de la chaîne d’approvisionnement. Cette incident concerne le projet open source LiteLLM, une bibliothèque Python très populaire utilisée pour interagir avec divers modèles de langage. La révélation intervient alors que le groupe de piratage Lapsus$ affirme avoir dérobé des données internes à la société.
Une Attaque par la Chaîne d’Approvisionnement
Selon un porte-parole de Mercor, Heidi Hagberg, la société fait partie des “milliers d’entreprises” affectées par la récente compromission du dépôt open source LiteLLM. Cette faille de sécurité, attribuée au groupe de pirates informatiques TeamPCP, a permis l’injection d’un code malveillant dans un package associé au projet. Bien que le code ait été identifié et supprimé en quelques heures, l’incident a soulevé des inquiétudes majeures en raison de l’adoption massive de LiteLLM. La société de cybersécurité Snyk rapporte que la bibliothèque est téléchargée des millions de fois par jour, amplifiant considérablement le rayonnement potentiel de l’attaque.
Les Revendications de Lapsus$ et les Données Volées
Parallèlement, le gang d’extorsion Lapsus$ a revendiqué avoir pénétré les systèmes de Mercor. Sur son site de fuite de données, le groupe a publié un échantillon des informations dérobées, que TechCrunch a pu examiner. Cet échantillon inclut des références à des canaux Slack de l’entreprise et à ce qui semble être des données de tickets de support, ainsi que deux vidéos présentées comme des conversations entre les systèmes d’IA de Mercor et ses sous-traitants sur la plateforme. Il reste pour l’heure inconnu de quelle manière les données partagées par Lapsus$ sont liées à l’incident initial de compromission de LiteLLM orchestré par TeamPCP.
Mercor : Un Acteur Majeure de l’Écosystème IA
Fondée en 2023, Mercor a connu une croissance fulgurante. La plateforme connecte des entreprises technologiques de premier plan, comme OpenAI et Anthropic, avec des experts spécialisés — scientifiques, médecins, juristes — principalement sur des marchés comme l’Inde, pour四个nir des données d’entraînement de haute qualité. La startup affiche un volume de paiements dépassant 2 millions de dollars par jour et a obtenu une valorisation de 10 milliards de dollars après une levée de fonds de série C de 350 millions de dollars en octobre 2025, dirigée par Felicis Ventures.
Réponse et Mesures de Contenement
Interrogée par TechCrunch, Heidi Hagberg a confirmé que Mercor a “agi rapidement” pour contenir et remédier à l’incident. La société a engagé “des experts légistes tiers de premier plan” pour mener une enquête approfondie. “Nous continuerons à communiquer directement avec nos clients et sous-traitants, le cas échéant, et consacrerons les ressources nécessaires pour résoudre le problème dans les plus brefs délais”, a-t-elle déclaré. La porte-parole a cependant refusé de préciser si l’incident était directement lié aux affirmations de Lapsus$ ou de confirmer si des données clients ou de sous-traitants ont été consultées, exfiltrées ou utilisées de manière malveillante.
L’Impact Plus Large de la Compromission de LiteLLM
L’incident de LiteLLM a mis en lumière les risques inhérents à la dépendance envers les composants open source dans les chaînes d’approvisionnement logicielles. Suite à la découverte du code malveillant, LiteLLM a annoncé des modifications significatives de ses processus de conformité, notamment en changeant de prestataire pour ses certifications (passant de Delve à Vanta). L’étendue exacte du nombre d’entreprises touchées et la nature des données potentiellement exposées restent toutefois floues, les enquêtes se poursuivant de part et d’autre.
Perspectives et Enjeux pour l’Industrie
Cette affaire souligne la vulnérabilité critique des infrastructures logicielles modernes, où un seul composant compromis peut affecter des milliers d’organisations. Pour Mercor, qui gère des flux de données sensibles et des paiements importants, la tournure des événements pose des défis à la fois techniques et de confiance. La prochaine conférence TechCrunch Disrupt, prévue à San Francisco du 13 au 15 octobre 2026, pourrait être l’occasion pour la startup de fournir des mises à jour plus détaillées sur sa gestion de crise et ses leçons tirées, alors que le secteur de l’IA continue d’être une cible de choix pour les cybercriminels.