Tes outils MCP marchaient nickel. Slack, GitHub, Jira, une base de données — tout connecté via MCP, le standard de branchement universel pour les outils IA. Tu as collé tes clés API dans un fichier JSON, lancé le tout en local, et tu t'es pris pour un magicien. Tout communiquait avec tout.

Puis ton équipe sécu a débarqué. Où sont stockés ces identifiants ? Comment se fait la rotation ? Qui d'autre peut les lire ? Réponse aux trois questions : personne ne sait. Et cette petite panique que tu as ressentie ? Multiplie-la par chaque entreprise qui essaie de faire passer ses agents IA de la démo à la production.

En avril 2026, les trois grandes plateformes IA ont livré leur solution d'authentification pour MCP — et aucune n'est d'accord sur comment ça devrait marcher.

Un protocole, trois coffres-forts

Le 9 avril, Anthropic a lancé Managed Agents avec Credential Vault — un proxy chiffré qui récupère tes secrets pour que le code de ton agent ne touche jamais aux vrais identifiants. OAuth avec refresh automatique, tokens bearer statiques, tout le package. Plafonné à 20 identifiants par coffre, parce qu'apparemment la sécurité entreprise fonctionne avec une carte de fidélité.

Le 15 avril, OpenAI a mis à jour son Agents SDK. Leur pitch : passe un bearer token dans le header, gère le refresh toi-même. Besoin d'OAuth ? Construis-le. Mais voici le gag : les ChatGPT Apps exigent OAuth 2.1 — les bearer tokens refoulés à l'entrée. Une seule boîte qui livre un SDK disant « les tokens c'est bon » et un produit qui dit « absolument pas ». OpenAI se dispute avec lui-même en public sur l'authentification, et les développeurs doivent choisir leur camp.

Le 17 avril, Google a sorti ADK 1.0 — présenté ensuite au Cloud Next le 22 avril. Cinq types d'identifiants dont les service accounts, Application Default Credentials et un flow OAuth pause-and-resume. Ça marche à merveille — si tu as déjà prêté allégeance à GCP. Pour tous les autres, c'est une réécriture complète de l'auth avec un accent Google.

Trois approches intelligentes. Trois systèmes incompatibles. MCP était censé être l'USB de l'IA. Il s'avère que chaque port nécessite un bloc d'alimentation différent.

La spec que personne ne suit

La spécification MCP (version 2026-03-15) impose OAuth 2.1 avec resource indicators — des tokens correctement scopés, une sécurité propre, tout y est. Sur le papier, c'est réglé.

Dans la pratique, l'écosystème n'a pas eu le mémo. Comme nous l'avions couvert dans l'analyse supply chain de la semaine dernière, les serveurs MCP ont un problème fondamental d'hygiène — la majorité des serveurs communautaires reposent encore sur des clés API statiques posées dans des fichiers de config. L'audit d'AgentSeal du 10 avril sur 1 808 serveurs a trouvé que les deux tiers sont truffés de vulnérabilités, du contournement d'auth à l'injection de commandes. Rien de tout ça ne s'est amélioré en deux semaines.

Mais l'angle spécifique à l'auth compte davantage ici : parmi les partenaires de lancement des trois plateformes, quasi aucun n'implémente OAuth 2.1 conformément à la spec. Le Credential Vault d'Anthropic a démarré avec Notion, Asana et Sentry — trois intégrations managées sur les centaines de serveurs que les développeurs utilisent réellement. Les docs ADK de Google présentent cinq patterns d'auth mais leurs exemples par défaut utilisent des clés API. Le SDK d'OpenAI botte en touche — « apporte ta propre auth » signifie que la plupart des développeurs apportent le chemin de moindre résistance : un token statique copié-collé depuis un dashboard.

Pourquoi cet écart ? OAuth 2.1 nécessite une infrastructure côté serveur. Un développeur solo qui maintient un connecteur MCP open-source le week-end n'a pas de token endpoint, pas de serveur de redirection, pas de flow de refresh. Comme l'a exprimé un mainteneur frustré dans les fils de discussion communautaires : « Je déteste juste que les clients ne supportent pas tous OAuth ou API key, donc je dois supporter les deux ! » La spec exige ce que la main-d'œuvre de l'écosystème ne peut pas fournir.

Le vrai coût : écris une fois, enferme-toi partout

Le modèle d'auth de chaque plateforme a sa logique interne. Anthropic joue au parent responsable — verrouille l'armoire à pharmacie pour que les gamins ne s'empoisonnent pas. Google s'appuie sur son stack d'identité cloud — efficace si tu as déjà emménagé dans la maison GCP. OpenAI maximise la liberté du développeur — ce qui est une façon diplomatique de dire qu'ils n'avaient pas envie de construire une infra d'auth et qu'ils ont appelé ça une feature.

Le coût collectif, c'est le lock-in au niveau de la couche d'identifiants. Un outil câblé sur le Credential Vault d'Anthropic ne marche pas dans Google ADK sans réécrire son auth. Un outil qui dépend des service accounts GCP est inutile dans le SDK d'OpenAI. MCP promettait « écris une fois, connecte partout ». L'auth l'a transformé en « écris une fois, puis réécris l'authentification pour chaque plateforme ». Même outil, trois factures d'intégration.

Le rapport sécurité MCP du Futurum Group l'a formulé clairement : « La question que les entreprises posent réellement n'est pas de savoir si MCP fonctionne. C'est de savoir si elles peuvent gouverner ce qu'il fait. »

Ton équipe sécu attend toujours

Tu te souviens d'eux ? Toujours plantés dans l'encadrement de ta porte. Sauf que maintenant, au lieu d'une seule réponse gênante, tu leur en dois trois — chacune t'enfermant dans la théologie d'une plateforme différente sur la gestion des identifiants.

Si tu évalues des outils MCP pour la production, vérifier les fonctionnalités ne suffit pas. Ce connecteur Slack qui tourne bien dans les Managed Agents de Claude ? Prévois une réécriture complète de l'auth pour Google ADK. Ton équipe a choisi le SDK d'OpenAI pour sa « flexibilité » ? Amuse-toi à construire OAuth from scratch pendant que les ChatGPT Apps refusent d'utiliser ce que tu as construit.

MCP a un protocole et trois religions d'identifiants. Le protocole marche. La partie « universelle » a volé en éclats au niveau de la couche d'authentification — exactement là où les démos deviennent des déploiements. Celui qui rendra l'auth basée sur les standards indolore pour les gens qui construisent les serveurs MCP, pas juste ceux qui les consomment, capturera le marché de la production. Pour l'instant, personne ne l'a fait. Rajoute des chaises pour ton équipe sécu — cette réunion va être longue.