La sécurité, c'est comme confier son coffre au cambrioleur
L'histoire est tellement belle qu'on la croirait inventée. LiteLLM, cette startup qui se présente comme le « gateway » sécurisé vers tous les modèles d'IA, a été victime la semaine dernière d'un malware particulièrement vicieux. Le logiciel malveillant n'a pas volé des données clients ou du code source. Non, il a siphonné les certifications de sécurité mêmes que LiteLLM brandissait comme preuve de sa fiabilité. La cerise sur le gâteau empoisonné ? Ces précieux sésames avaient été obtenus via Delve, une autre startup spécialisée dans l'audit de conformité. LiteLLM a donc payé Delve pour obtenir des badges de confiance, et Delve (ou son écosystème compromis) a servi de vecteur pour les faire disparaître. On appelle ça un retour sur investissement négatif.
Delve, l'auditeur fantôme qui valide n'importe quoi
Creusons le terrier. Delve se vend comme la solution rapide et pas chère pour obtenir des certifications style SOC 2, le must pour rassurer les entreprises clientes. Leur pitch ? Automatiser l'ennuyeux processus d'audit. Traduction en langage Susanoo : vendre des attestations à la chaîne avec un contrôle minimum. Le modèle est connu : inonder le marché de startups en manque de légitimité avec des certificats qui ne valent, au final, que le papier (numérique) sur lequel ils sont imprimés. LiteLLM est tombée dans le panneau, a obtenu ses deux jolis badges, et les a probablement affichés sur sa homepage. Sauf que l'infrastructure de Delve, ou un de ses outils, était si pourrie qu'un malware a pu passer à travers et chipper les identifiants d'accès aux plateformes de certification. LiteLLM s'est fait voler la clé de son propre coffre-fort… par le serrurier qu'elle avait engagé.
L'arnaque de la "compliance as a service" en pleine lumière
Cet incident n'est pas un simple bug. C'est la faillite d'un système. L'industrie de la tech a créé un marché parallèle frénétique : la « compliance ». Des armées de consultants et de startups comme Delve promettent aux jeunes pousses de leur obtenir, contre monnaie sonnante et trébuchante, les précieux sésames qui ouvrent les portes des grands comptes. Personne ne regarde vraiment dans le détail. Tout le monde est pressé. LiteLLM voulait des certificats pour vendre, Delve voulait des revenus pour lever des fonds. La sécurité réelle était la variable d'ajustement. Résultat : un malware basique a mis à nu toute la chaîne de confiance. Les clients de LiteLLM qui comptaient sur ces certifications pour envoyer leurs données sensibles doivent se sentir merveilleusement trahis.
Qui sont les vrais coupables ? Les VC qui financent cette mascarade
Ne pleurons pas sur LiteLLM. La startup a fait un choix économique : externaliser un processus critique à l'acteur le moins cher et le plus rapide. Mais regardons plus haut. Quels investisseurs ont jeté des millions dans Delve pour « révolutionner l'audit de sécurité » sans se poser de questions sur la solidité de leur propre produit ? Quels clients achetaient, les yeux fermés, le discours de LiteLLM parce qu'un logo SOC 2 faisait bien sur une slide ? Cet incident est un microcosme de l'écosystème IA actuel : une course effrénée vers le feature-shipping et le growth hacking, où les fondamentaux — comme ne pas se faire piller par son partenaire de sécurité — sont considérés comme des détails techniques. La confiance n'est plus audité, elle est commoditisée, packagée et vendue au rabais. Jusqu'à ce que tout s'effondre.
La morale de l'histoire ? Dans la ruée vers l'or IA, ceux qui vendent les pelles et les tamis (les auditeurs, les plateformes de compliance) sont parfois des escrocs. Et ceux qui achètent les pelles (les startups comme LiteLLM) sont parfois si pressés de creuser qu'ils oublient de vérifier si le manche est solide. Tout le monde perd, sauf les hackers et, peut-être, les avocats en responsabilité civile qui vont se frotter les mains.