Il y a six mois à peine, Mercor, la startup spécialisée dans la formation de données pour l’intelligence artificielle, rayonnait suite à une levée de fonds massive de 350 millions de dollars lors de sa série C, valorisant l’entreprise à 10 milliards de dollars. Cependant, tout a basculé après l’annonce, le 31 mars, d’une violation de données qui a plongé l’entreprise dans une crise profonde. Depuis cette déclaration, un groupe de hackers affirme avoir dérobé 4 téraoctets de données, comprenant des profils de candidats, des informations personnelles identifiables, des données d’employeurs, du code source ainsi que des clés API. Mercor n’a pas confirmé officiellement l’authenticité de ces données, se contentant de préciser qu’une enquête était en cours et qu’elle communiquerait directement avec ses clients et partenaires lorsque cela serait nécessaire.
Selon les premières révélations, la faille proviendrait d’une attaque ciblée sur LiteLLM, un outil open source extrêmement populaire, téléchargé des millions de fois par jour. Pendant 40 minutes, ce logiciel aurait hébergé un malware de type “credential harvesting”, une software malveillante capable de voler les identifiants de connexion. Ces credentials ont été exploités pour accéder à d’autres logiciels et comptes, entraînant une escalade de la compromission et l’extraction massive de données. Bien que Mercor n’ait pas confirmé précisément la quantité de données volées, les conséquences se font déjà ressentir dans le secteur.
Meta a suspendu ses contrats avec Mercor indéfiniment, illustrant la gravité de la situation pour la startup. Par ailleurs, OpenAI, qui collabore avec Mercor, mène désormais ses propres investigations, sans pour l’instant interrompre leur partenariat. Cependant, plusieurs autres grands acteurs du secteur de l’intelligence artificielle envisagent sérieusement de revoir leur relation commerciale avec Mercor, à cause des risques liés à la fuite. Par ailleurs, cinq sous-traitants de Mercor ont porté plainte pour exposition de leurs données personnelles, ce qui pourrait compliquer davantage la situation judiciaire et financière de la société.
Une des actions en justice, analysée par TechCrunch, nomme LiteLLM et Delve comme défendeurs. La publication de cette plainte révèle un lien étonnant : LiteLLM utilisait Delve, une startup de conformité en IA, pour obtenir ses certifications de sécurité. Or, Delve a été accusée par un lanceur d’alerte anonyme d’avoir falsifié des données et de recourir à des auditeurs à la certification douteuse. Bien que Delve ait nié ces accusations en assurant avoir apporté des modifications, Y Combinator a décidé de couper ses liens avec la société, laissant penser que la réputation de cette dernière est fortement entachée. LiteLLM, quant à elle, a récemment changé de prestataire pour ses certifications.
Pour l’instant, Mercor a confirmé qu’elle n’était pas cliente de Delve, mais la situation pourrait évoluer si la crise persiste et que la confiance des partenaires s’effrite. Une source anonyme indique que, avant la fuite, Mercor officiait pour atteindre plus d’un milliard de dollars de revenus annuels, ce qui souligne l’impact potentiellement dévastateur de cette brèche sur ses finances. La crise de Mercor intervient à un moment clé pour cette startup qui, six mois auparavant, semblait inarrêtable dans son secteur, et soulève également des questions majeures sur la sécurité dans l’écosystème de l’IA.
Le futur de Mercor dépendra de sa capacité à restaurer la confiance de ses partenaires et à gérer la crise sans précédent qui menace son avenir.
