« Je vais probablement simplement tout divulguer. » Le message est tombé le 11 mai sur un forum cybercriminel. L’auteur, qui signe TeamPCP, dit détenir 450 dépôts Git privés de Mistral AI, soit environ 5 Go de code interne. Le tarif d’achat exclusif est fixé à 25 000 dollars. Sans repreneur, il menace de tout publier.
Une porte d’entrée passée par les développeurs
Le 12 mai, Mistral AI a publié un avis de sécurité officiel. La startup parisienne, fondée en 2023 par d’anciens chercheurs de Google DeepMind et de Meta, reconnaît qu’une attaque de la chaîne d’approvisionnement logicielle a frappé plusieurs de ses bibliothèques pour développeurs. Les versions 2.2.2 à 2.2.4 du package npm @mistralai/mistralai sont concernées, ainsi que les déclinaisons Azure et GCP, et surtout mistralai 2.4.6 distribuée sur PyPi.
Le mode opératoire est désormais classique chez les groupes spécialisés en attaques supply chain. Les pirates ne visent pas l’infrastructure de l’entreprise, ils piègent les outils que ses clients téléchargent quotidiennement. Selon le site spécialisé Cyberattaque.org, qui a sorti l’affaire le 13 mai, un poste développeur compromis aurait servi de tremplin. Mistral assure qu’à ce stade « aucune indication ne montre une compromission de l’infrastructure ».
Trois heures pour piéger un écosystème entier
L’attaque a duré un peu plus de trois heures. Pendant ce court créneau, les paquets piégés étaient disponibles au téléchargement public. Le magazine américain Tom’s Hardware parle d’un « mini Shai Hulud », en référence à une campagne précédente qui s’était propagée en cascade dans l’écosystème npm. Plus de 170 paquets seraient touchés, incluant la suite TanStack, un ensemble de bibliothèques JavaScript présent dans des milliers de sites web modernes.
Le package Python s’est révélé le plus dangereux. Une fois importé sur un système Linux, le code malveillant téléchargeait silencieusement un fichier hébergé à l’adresse IP 83.142.209.194, puis l’exécutait en arrière-plan. Son objectif, décrit par les analystes du Journal du Net et de Cyberattaque.org : siphonner les jetons GitHub, npm, GitLab, CircleCI, les identifiants cloud Amazon, Microsoft et Google, les secrets Kubernetes, les coffres-forts Vault et les accès aux registres de paquets. De quoi rebondir vers des milliers d’autres entreprises.
5 Go en vente, 25 000 dollars la clé
Le butin revendiqué par TeamPCP est nettement plus stratégique. Dans les captures publiées sur le forum, on retrouve des noms de dépôts évocateurs : mistral-inference-private pour l’inférence, mistral-finetune-internal pour l’ajustement des modèles, devstral-cloud pour l’orchestration, ou encore mistral-lawyer-internal, un agent juridique en développement. Le hacker affiche également un dépôt baptisé chatbot-security-evaluation, dédié à tester la robustesse des modèles face aux attaques.
Le prix de vente reflète le caractère ciblé de la transaction. À 25 000 dollars, soit environ 23 000 euros, l’accès exclusif vise un acheteur unique. C’est moins qu’une rançon classique, mais le marché est différent : un concurrent, un État ou un fonds spéculatif peut tirer profit d’un coup d’œil dans les boîtes noires d’un acteur majeur de l’IA générative. Mistral, dont la valorisation dépasse plusieurs milliards d’euros après ses derniers tours de table, n’a pas confirmé l’authenticité des fichiers et l’enquête se poursuit.
L’IA, nouvelle cible préférée des cybercriminels
L’incident s’inscrit dans une série noire. Anthropic a vu son code source exposé fin mars après une erreur de configuration. Apple Intelligence a souffert d’une faille permettant de manipuler son IA sur iPhone et Mac en avril. Le malware GhostClaw a contaminé npm en mars. Selon les analystes cités par France Info, les modèles d’IA générative, les pipelines d’entraînement et les infrastructures GPU sont devenus des actifs aussi sensibles que les bases de données bancaires d’autrefois. Plusieurs années de recherche et des centaines de millions d’euros sont en jeu derrière chaque dépôt.
Du côté de Mistral, le timing pique. La société travaille depuis l’an dernier avec plusieurs grands groupes français et collabore avec des acteurs institutionnels européens. Une fuite de pipeline d’entraînement, même partielle, fragiliserait sa position face à OpenAI et Anthropic, dont les techniques restent jalousement gardées. Le Parisien souligne que l’incident relance le débat sur la sécurité des champions européens de la tech.
Le compte à rebours du « quelques jours »
Pour les utilisateurs des SDK Mistral, la marche à suivre est documentée. L’éditeur recommande de désinstaller immédiatement les versions compromises, de régénérer toutes les clés d’API qui auraient pu être lues par un environnement Linux pendant la fenêtre d’attaque du 12 mai, et d’analyser les logs CI/CD pour détecter une exfiltration sortante vers l’adresse IP signalée. Le poste développeur incriminé a été isolé selon les premières informations transmises au Journal du Net.
Reste la menace de publication. TeamPCP a fixé son délai à « quelques jours ». Si aucun acheteur ne se manifeste, les 450 dépôts pourraient atterrir gratuitement sur des forums spécialisés ou des canaux Telegram, démultipliant l’exposition à des dizaines de milliers de regards malveillants. Une simple recherche dans les fichiers fuités pourrait révéler des jetons d’accès oubliés, ouvrant la voie à des compromissions en cascade. Le scénario s’est déjà répété en 2024 quand un dépôt mal sécurisé d’OpenAI avait permis de cartographier une partie de l’infrastructure interne du laboratoire californien, selon une enquête du New York Times.
Pour la place de Paris, l’épisode tombe au pire moment. Les régulateurs européens préparent leur acte d’application de l’AI Act, qui doit entrer en vigueur cet été pour les modèles à usage général. Une fuite massive de code interne, en pleine phase d’écriture des règles, complique le récit des champions tricolores capables de rivaliser avec la Silicon Valley sans renoncer à la souveraineté. Les clients institutionnels surveilleront chaque communiqué de l’entreprise dans les jours à venir.
