Le chasseur de têtes devenu tête de turc
Mercor, cette startup qui promettait de révolutionner le recrutement avec de l'IA, vient de se faire recruter de force par un groupe de hackers. Leur produit phare ? Scanner des milliers de CV. Leur faille phare ? Ne pas scanner les vulnérabilités de leurs propres dépendances logicielles. L'ironie est si épaisse qu'on pourrait la couper au couteau. L'entreprise a confirmé l'incident après qu'un crew d'extorsion a revendiqué le vol de données. Le vecteur d'attaque n'est pas une zero-day sophistiquée, mais la compromission d'un projet open-source sur lequel ils reposaient : LiteLLM.
LiteLLM : la bibliothèque légère qui a alourdi la facture
LiteLLM est un projet visant à uniformiser les appels à différents modèles de langage (OpenAI, Anthropic, etc.). Pratique. Populaire. Et visiblement, une cible de choix. Les attaquants ont compromis ce maillon de la chaîne pour atteindre tous ceux qui l'utilisaient naïvement. Mercor, dans sa course à l'automatisation, a intégré l'outil sans semble-t-il se poser la question de la sécurité de la supply chain. Résultat : la porte d'entrée était grande ouverte. Les données de recrutement, potentiellement sensibles (CV, coordonnées, évaluations), sont maintenant entre les mains de criminels qui menacent de les divulguer.
La facture de la dépendance aveugle
Cet incident est un cas d'école de la dette sécurité open-source non gérée. Les startups IA, pressées de livrer des features, empilent les bibliothèques sans audits, sans monitoring des vulnérabilités. LiteLLM n'est pas un acteur malveillant, mais son compromis transforme chaque utilisateur en victime collatérale. La question qui brûle les lèvres : quelle proportion de la stack de Mercor était-elle construite sur ce genre de dépendances non sécurisées ? Et combien de leurs clients, qui leur ont confié des données personnelles, paient maintenant les pots cassés ?
L'IA qui recrute, le CISO qui démissionne
Le modèle économique de Mercor repose sur la confiance : confiance que leur IA est neutre, confiance qu'ils protègent les données des candidats. Cette confiance vient de prendre un coup de masse. On imagine mal une entreprise continuer à utiliser un service de recrutement qui a laissé fuir les données de ses employés. Le vrai test pour Mercor ne sera pas de patcher LiteLLM, mais de reconstruire une crédibilité sécurité réduite en miettes. Dans l'industrie de la tech, la réputation se construit en années et se détruit en un tweet d'un groupe de hackers.
Morale de l'histoire
Vouloir automatiser l'humain avec de l'IA, c'est tendance. Oublier que cette IA repose sur des fondations logicielle poreuses, c'est criminellement négligent. Mercor a peut-être une algorithmique de pointe, mais sa hygiène sécurité semble digne des années 2000. L'extorsion va coûter cher, en rançon potentielle, en amendes RGPD, et en clients perdus. La leçon est amère : avant de vouloir juger les compétences des autres, assurez-vous que les vôtres en matière de cybersécurité sont à la hauteur.