Six mois après avoir levé 350 millions de dollars lors d'une série C l'ayant valorisée à 10 milliards de dollars, la start-up américaine Mercor, spécialisée dans l'entraînement des modèles d'intelligence artificielle, fait face à une crise majeure suite à une violente faille de sécurité. Le 31 mars, la société a admis avoir été victime d'une cyberattaque, déclenchant une série de conséquences qui menacent désormais son avenir commercial. Un groupe de pirates a revendiqué avoir volé 4 téraoctets de données sensibles provenant des systèmes de Mercor. Ce volume colossal inclut les profils des candidats, des informations d'identification personnelles, des données employeurs, du code source et des clés API. Bien que Mercor n'ait pas confirmé l'authenticité de ces allégations, elle a déclaré être en pleine investigation et s'est engagée à communiquer directement avec ses clients et contractants. La faille est attribuée à une compromission de LiteLLM, un outil open source populaire utilisé par des millions de développeurs quotidiennement. Pendant 40 minutes, cet outil a hébergé un logiciel malveillant de vol de credentials, permettant aux attaquants d'accéder progressivement à divers systèmes et comptes internes. Les répercussions sont déjà tangibles et sévères. Meta, l'un des principaux clients de Mercor, a suspendu indéfiniment ses contrats avec l'entreprise, selon des sources proches du dossier. Cette décision est particulièrement critique car Mercor traite des ensembles de données et des processus propriétaires constituant des secrets commerciaux majeurs pour les fabricants de modèles d'IA. Bien que Meta ait déjà investi des sommes considérables chez un concurrent, Scale AI, sa relation avec Mercor était fondamentale. Heureusement pour la start-up, OpenAI a confirmé à Wired qu'elle enquête sur l'étendue de son exposition lors de la fuite, mais a précisé que ses contrats n'ont pas été suspendus pour le moment. Toutefois, d'autres grands fabricants de modèles d'IA semblent évaluer leurs relations avec Mercor, créant une incertitude majeure sur son chiffre d'affaires annuel, qui pourrait atteindre 1 milliard de dollars avant la faille. En parallèle, l'impact juridique s'alourdit avec cinq contrats de travail ayant intenté des poursuites contre Mercor pour l'exposition de leurs données personnelles. L'une de ces actions en justice, examinée par TechCrunch, cite également LiteLLM et Delve, une société de conformité de l'IA. Cette dernière a été accusée par un lanceur d'alerte d'avoir falsifié des données pour ses certifications de sécurité, une accusation qui a entraîné la rupture de leur lien avec l'incubateur Y Combinator. Bien que Mercor ait confirmé n'être ni client de Delve ni responsable de la certification de sécurité de Delve, l'incident soulève des questions profondes sur la chaîne de confiance dans le secteur de la sécurité informatique. Si les poursuites judiciaires peuvent sembler opportunistes au premier abord, elles pourraient devenir une menace existentielle si la confiance des partenaires commerciaux ne revient pas rapidement. L'avenir de Mercor dépend désormais de sa capacité à gérer cette crise de réputation et à garantir à ses clients que la sécurité de leurs données les plus précieuses sera restaurée.