Sécurité MCP : 30 CVE en 60 jours, vos agents IA sont-ils exposés ?

Le Model Context Protocol (MCP) est devenu le standard de facto pour connecter les agents IA à des outils externes — bases de données, APIs, systèmes de fichiers, services cloud. Mais cette adoption rapide a un prix : 30 CVE documentées en moins de 60 jours, dont plusieurs critiques avec des scores CVSS dépassant 9.0.

Si vous utilisez des agents IA en entreprise, vos serveurs MCP sont probablement votre maillon faible en matière de sécurité.

Un écosystème sous pression

Les chiffres parlent d'eux-mêmes :

• 30 CVE publiées dans l'écosystème MCP depuis janvier 2026
• 36 % des serveurs MCP fonctionnent sans aucun mécanisme d'authentification
• 43 % des serveurs analysés sont vulnérables à l'injection de commandes
• 36,7 % exposés à des attaques SSRF (Server-Side Request Forgery)

Le rythme d'accélération est frappant. En 2025, on comptait environ 15 CVE sur toute l'année. En 2026, ce chiffre a doublé en un seul trimestre.

Les trois couches d'attaque

Les chercheurs ont identifié trois niveaux distincts de vulnérabilités dans l'architecture MCP :

Couche 1 : le serveur

C'est la surface d'attaque la plus directe. Les serveurs MCP exposent des endpoints HTTP qui acceptent des requêtes JSON-RPC. Sans authentification, n'importe quel client peut se connecter et invoquer des outils.

CVE-2026-27825 (CVSS 9.1) illustre parfaitement le problème : le serveur mcp-atlassian permettait l'écriture arbitraire de fichiers via le téléchargement d'attachements Confluence, menant à une exécution de code à distance (RCE). Le transport HTTP écoutait par défaut sur 0.0.0.0 — sans aucune authentification.

CVE-2026-26118, corrigée par Microsoft le 10 mars 2026, révélait une vulnérabilité SSRF critique dans Azure MCP Server Tools permettant le vol de tokens et l'escalade de privilèges.

Couche 2 : le SDK

Les bugs au niveau des bibliothèques clientes sont plus subtils mais tout aussi dangereux. CVE-2026-27896 montre qu'un parsing JSON insensible à la casse dans le SDK Go permettait de contourner les validations de sécurité en utilisant des noms de champs mixtes ("Method" au lieu de "method").

Couche 3 : l'hôte

L'agent IA lui-même devient un vecteur d'attaque quand il dispose de permissions trop larges. Un attaquant peut exploiter l'injection de prompts pour déclencher des appels d'outils non autorisés, exfiltrer des données ou modifier des configurations.

Injection de prompts vs empoisonnement d'outils

Deux techniques d'attaque dominent le paysage MCP en 2026 :

L'injection de prompts cible le modèle IA directement. Des commandes malveillantes sont intégrées dans les entrées utilisateur pour détourner le comportement de l'agent. Un attaquant peut forcer l'agent à appeler un outil avec des paramètres dangereux — par exemple, exécuter une requête SQL destructive via un serveur MCP de base de données.

L'empoisonnement d'outils (tool poisoning) est plus insidieux. L'attaquant modifie la description ou le comportement d'un outil dans le registre MCP. L'agent IA, qui se fie à ces descriptions pour décider quel outil utiliser, invoque alors un outil compromis sans que l'utilisateur en ait conscience.

La différence clé : l'injection de prompts affecte une session individuelle, tandis que l'empoisonnement d'outils compromet l'infrastructure pour tous les utilisateurs.

Conséquences concrètes

Un serveur MCP compromis peut :

• Rediriger des transactions vers des adresses contrôlées par l'attaquant
• Manipuler les données que l'agent utilise pour prendre des décisions
• Exfiltrer des clés privées et des identifiants stockés dans les systèmes connectés
• Exécuter des appels non autorisés vers des APIs ou des smart contracts
• Distribuer des malwares via les réponses d'outils

Pour les entreprises de la région MENA qui adoptent massivement les agents IA, ces risques ne sont pas théoriques — ils sont activement exploités.

Guide de sécurisation en 7 étapes

1. Authentifiez chaque connexion

Ne jamais exposer un serveur MCP sans authentification. Implémentez au minimum :

• Des tokens API par client avec rotation régulière
• Du mTLS (mutual TLS) pour les déploiements critiques
• Une vérification d'identité entre l'hôte MCP, le client et le serveur

// Exemple : middleware d'authentification MCP
const authMiddleware = (req, res, next) => {
  const token = req.headers['authorization']?.replace('Bearer ', '');
  if (!token || !verifyMCPToken(token)) {
    return res.status(401).json({
      error: 'Unauthorized MCP client'
    });
  }
  next();
};

2. Appliquez le principe du moindre privilège

Chaque outil MCP ne doit avoir accès qu'aux ressources strictement nécessaires. Bloquez les 29 patterns d'opérations d'écriture sensibles :

• create_*, delete_*, transfer_*, refund_*
• Opérations de modification de configuration
• Accès aux systèmes de fichiers en écriture

3. Validez toutes les entrées

Implémentez des listes blanches et des validations de schéma strictes sur chaque appel d'outil :

• Rejetez tout ce qui ne correspond pas au format attendu
• Supprimez le HTML, les tokens spéciaux et les caractères de contrôle des retours d'outils
• Utilisez des schémas JSON stricts pour chaque paramètre d'outil

4. Limitez le débit

Configurez un rate limiting par outil pour prévenir l'exfiltration de données :

• Limitez le nombre d'appels par minute et par outil
• Plafonnez le volume de données retournées par requête
• Alertez en cas de patterns d'utilisation anormaux

5. Sécurisez la chaîne d'approvisionnement

Les serveurs MCP tiers sont des dépendances comme les autres :

• Épinglez les versions de tous les serveurs et SDKs MCP
• Scannez le code et les dépendances avant déploiement
• Signez numériquement les outils et vérifiez les signatures au chargement
• Auditez les modifications avant chaque mise à jour

6. Déployez une surveillance active

Utilisez des outils spécialisés comme MCPTox ou MindGuard pour la détection en temps réel :

• Journalisez chaque appel d'outil avec ses paramètres et résultats
• Détectez les tentatives d'injection de prompts dans les requêtes
• Surveillez les comportements anormaux des agents (appels inhabituels, volumes de données excessifs)

7. Maintenez une supervision humaine

Pour les opérations sensibles, exigez une validation manuelle :

• Transactions financières au-delà d'un certain seuil
• Modifications de configuration système
• Accès à des données personnelles ou confidentielles

Outils et ressources

Plusieurs frameworks vous aident à sécuriser vos déploiements MCP :

• OWASP propose un guide pratique pour le développement sécurisé de serveurs MCP
• La Cloud Security Alliance a publié un guide complet "Secure Autonomy" pour le durcissement des serveurs MCP
• McpFirewall offre un pare-feu open source avec 277 tests validés, capable de bloquer les opérations d'écriture et de masquer les données sensibles
• Le projet CoSAI (Coalition for Secure AI) maintient une documentation de référence sur la sécurité MCP

Checklist de sécurité MCP

Avant de mettre en production un serveur MCP, vérifiez ces points :

• Authentification obligatoire sur tous les endpoints
• Permissions limitées au strict nécessaire par outil
• Validation de schéma sur toutes les entrées
• Rate limiting configuré et testé
• Versions des SDKs et serveurs épinglées et à jour
• Journalisation complète des appels d'outils
• Procédure de réponse aux incidents documentée
• Tests de pénétration réalisés sur l'infrastructure MCP

Conclusion

Le protocole MCP est une avancée majeure pour l'interopérabilité des agents IA. Mais comme toute interface entre systèmes, il crée une nouvelle frontière de confiance qui doit être sécurisée avec la même rigueur que vos APIs et vos bases de données.

Avec 30 CVE en 60 jours et un rythme qui s'accélère, attendre n'est pas une option. Traitez vos serveurs MCP comme une infrastructure privilégiée — parce que c'est exactement ce qu'ils sont.

Les entreprises qui intègrent la sécurité dès la conception de leurs déploiements d'agents IA seront celles qui bénéficieront pleinement de cette technologie — sans en subir les conséquences.