Une attaque par chaîne d’approvisionnement visant un outil open source a exposé des données sensibles chez Mercor. Confirmé par l’entreprise, l’incident a rapidement pris une autre dimension, plusieurs partenaires prenant leurs distances, dont Meta selon des sources internes.
Une attaque indirecte, révélée en plusieurs temps
Le 27 mars 2026, deux versions de l’outil LiteLLM sont compromises par un acteur identifié sous le nom de TeamPCP. L’attaque, qui s’inscrit dans une chaîne d’approvisionnement, touche des milliers d’entreprises utilisatrices de cet outil d’interfaçage avec des API d’intelligence artificielle.
Parmi elles, Mercor. La startup californienne spécialisée dans le recrutement assisté par IA voit une partie de ses systèmes exposée. L’information émerge d’abord dans un signalement relayé par PR Newswire, évoquant une fuite potentielle de données sensibles et l’ouverture d’une enquête par un cabinet d’avocats.
Quelques jours plus tard, le groupe cybercriminel Lapsus$ revendique l’attaque et affirme détenir quatre téraoctets de données issus de l’entreprise, listée sur son site de fuite.
Le 31 mars, Mercor confirme l’incident auprès de ses équipes, puis publiquement. Les données concernées couvrent un périmètre large : échanges Slack, tickets internes, conversations entre systèmes d’IA et sous-traitants, profils de candidats, données personnelles, mais aussi des éléments techniques comme du code source, des clés API et des secrets.
Dans une déclaration relayée par Business Insider, l’entreprise met en avant sa réaction. « La confidentialité et la sécurité de nos clients et sous-traitants sont fondamentales dans tout ce que nous faisons chez Mercor. Nous avons récemment identifié que nous faisions partie des milliers d’entreprises impactées par une attaque de la chaîne d’approvisionnement impliquant LiteLLM » (citation traduite). Elle précise avoir contenu l’incident et engagé une enquête avec des experts en investigation numérique.
Des partenaires sur la réserve, une séquence qui bascule
À mesure que les éléments émergent, l’incident dépasse le seul cadre technique. Il s’installe sur le terrain de la confiance.
Selon des informations publiées par Wired, Meta aurait suspendu l’ensemble de sa collaboration avec Mercor, pour une durée indéterminée, le temps d’évaluer l’ampleur de la faille. Cette décision n’a pas été confirmée officiellement à ce stade.
D’autres acteurs majeurs de l’intelligence artificielle réexamineraient également leurs relations avec la startup, dans l’attente d’une vision plus précise des données compromises et des risques associés.
En quelques jours, la séquence s’est déplacée. Partie d’une vulnérabilité introduite via un outil tiers, elle s’est transformée en point de friction avec l’écosystème. La gestion de l’incident ne se joue plus uniquement sur le terrain technique, mais dans la capacité de Mercor à restaurer la confiance.
