Ton équipe a branché une douzaine de serveurs MCP sur vos agents IA le mois dernier. GitHub, Slack, Jira, peut-être une base de données ou deux. MCP — Model Context Protocol — c'est comme un port USB universel pour les outils IA : tu branches un serveur, et ton agent IA peut créer des tickets, envoyer des messages, interroger des données. Ça marche, point. On dirait de la magie.

Mais est-ce que quelqu'un a vérifié qui maintient ces serveurs ? Quand le code a été mis à jour pour la dernière fois ? Si un seul humain l'a jamais audité ? Probablement pas — parce que MCP a rendu la connexion d'outils aussi simple que l'installation d'une extension de navigateur.

La baraque est en feu

Durant les deux premières semaines d'avril 2026, la magie a cessé d'opérer.

Le 11 avril, des chercheurs ont divulgué CVE-2026-5058 — une faille d'injection de commandes dans le serveur MCP AWS avec un score CVSS de 9.8. Le 3 avril, le serveur MCP Azure DevOps de Microsoft a écopé de CVE-2026-32211 — CVSS 9.1, zéro authentification sur un serveur gérant l'infrastructure de développement d'entreprise. Deux boîtes à mille milliards de dollars, deux serveurs auxquels tes agents se connectent probablement, tous les deux grands ouverts. Les détails importent moins que le schéma : si AWS et Microsoft ne sont pas capables de sécuriser leurs propres serveurs MCP, quelle chance a un serveur communautaire maintenu par un dev solo ?

Pas de lockfile, pas de filet

L'écosystème MCP compte désormais plus de 16 000 serveurs construits par la communauté. Un audit de Qualys publié le 20 mars — des semaines avant que les CVE d'avril ne commencent à pleuvoir — montrait déjà les fissures dans les fondations : 53 % des serveurs reposaient sur des secrets statiques — des mots de passe codés en dur qui ne tournent jamais.

Voilà ce qui rend la situation pire que npm — le gestionnaire de paquets que les développeurs JavaScript connaissent et redoutent. Les packages npm peuvent être verrouillés en version : tu choisis une version, tu la pins, et une mise à jour malveillante ne te touchera pas tant que tu n'auras pas décidé de mettre à jour. Les serveurs MCP tournant via SSE (Server-Sent Events — une méthode permettant à un serveur de pousser des mises à jour en temps réel vers ton app) sont des services live. Quand le mainteneur pousse du code, chaque agent connecté récupère le nouveau comportement instantanément. Pas de lockfile. Pas de review. Pas de consentement.

Un tool schema — le contrat qui indique à ton agent IA ce qu'un serveur sait faire — peut changer silencieusement du jour au lendemain. Pas de checksum. Pas de notification de diff. Pas d'équivalent à package-lock.json. Ton agent demandait un « accès en lecture aux issues GitHub » lundi ; jeudi, le même serveur pourrait exiger un « accès en écriture à tous les dépôts », et ton agent obéirait parce qu'il fait confiance à l'identité du serveur, pas à l'ensemble des permissions.

Si ça te rappelle filer tes clés à quelqu'un en espérant qu'il ne changera jamais la serrure derrière ton dos — ouais, c'est à peu près ça.

475 pull requests malveillantes en 26 heures

La preuve est arrivée le 4 avril. Wiz Research a publié la campagne prt-scan : un seul attaquant, six faux comptes GitHub, 475 pull requests malveillantes — des propositions de modification de code — tirées sur des repos d'outils agents en une seule journée. Les payloads volaient des clés AWS, des tokens GitHub, des tokens API Cloudflare. L'attaquant a compromis au moins deux packages npm sur 106 versions publiées. Wiz a décrit l'approche comme de « l'automatisation, pas de la compréhension » — des payloads multi-phases élaborés par quelqu'un qui ne maîtrisait pas totalement le modèle de sécurité de GitHub mais qui a quand même réussi à faire de vrais dégâts.

Puis le 16 avril, CVE-2026-33032 est tombée : MCPwn, un bypass d'authentification CVSS 9.8 dans l'intégration MCP de nginx-ui, activement exploité sur 2 600 instances exposées dans plus de 50 pays. Le correctif ? Vingt-sept caractères de code — l'ajout d'un seul appel middleware. Le chercheur en sécurité Yotam Perkal a résumé parfaitement : « Quand tu boulonnes MCP sur une application existante, les endpoints MCP héritent de toutes les capacités de l'application mais pas nécessairement de ses contrôles de sécurité. »

Vingt-sept caractères entre 2 600 serveurs et la compromission totale. Laisse ça infuser.

Où est le filet de sécurité ?

Personne n'a encore construit l'équivalent de npm audit pour MCP. Pas de scan de vulnérabilités à l'échelle de l'écosystème. Pas de lockfiles de dépendances pour les tool schemas. Le MCP Registry officiel utilise une authentification par namespace liée aux comptes GitHub, mais il n'y a aucun audit de code obligatoire, aucune vérification des mainteneurs au-delà de prouver que tu possèdes un domaine. Des outils comme mcp-scan existent, mais leur adoption est microscopique par rapport aux besoins de l'écosystème.

Pendant ce temps, les entreprises câblent ces serveurs dans des workflows d'agents en production — des systèmes IA autonomes qui créent des tickets, poussent du code et interrogent des bases de données sans qu'un humain ne clique sur « approuver » à chaque fois. Qualys qualifie les serveurs MCP de « nouveau Shadow IT » : ils se cachent derrière localhost, des ports aléatoires et des plugins d'IDE, invisibles pour tous les outils de sécurité traditionnels.

Ce que tu devrais vraiment faire

Avant de connecter un autre serveur MCP communautaire à tes agents de production :

  • Vérifie le nombre de mainteneurs. Une seule personne = un seul bus factor. S'il se lasse, tu hérites de sa dette de sécurité.
  • Vérifie la date du dernier commit. Le code abandonné ne reçoit pas de patchs.
  • Lis les descriptions des outils. L'injection de prompt — amener l'IA à faire des choses non prévues — se cache en texte brut, y compris dans les métadonnées du serveur.
  • Pine une version connue et fiable en local. Fais tourner les serveurs MCP depuis une copie locale que tu as inspectée, pas depuis un endpoint distant live.
  • Prévois un plan de remplacement. Quand le serveur disparaîtra — pas si — tu devras le remplacer sans casser tes agents.

Le compte à rebours a commencé

npm a mis 15 ans à apprendre que les supply chains open-source ont besoin de gouvernance — de left-pad qui a cassé la moitié d'internet en 2016, à event-stream qui volait des cryptos en 2018, jusqu'à l'authentification à deux facteurs obligatoire pour les mainteneurs en 2022. MCP speedrun la même leçon en 18 mois, avec des enjeux bien plus élevés : ce ne sont pas des bibliothèques qui construisent ton app, ce sont des services live qui agissent en tant que ton app.

La première vraie brèche — pas un CVE, pas une preuve de concept, mais de vraies données clients qui fuient à travers un serveur MCP compromis — déterminera si l'écosystème construit une infrastructure de sécurité ou continue simplement à empiler les serveurs.

Mon pari ? Sur les serveurs.