L'écosystème MCP a grandi vite — pas la sécurité
Le Model Context Protocol a été lancé fin 2024. En moins de 18 mois, il est devenu le standard pour connecter les outils IA aux systèmes externes. En mars 2026, l'écosystème couvre les connecteurs de bases de données, les serveurs de fichiers, les ponts GitHub, les clients Slack, les outils email et des centaines de serveurs spécialisés.
La courbe de croissance est rapide. La posture de sécurité ne l'est pas.
En mars 2026, plus de 8 000 serveurs MCP sont accessibles sur Internet. Les chercheurs en ont trouvé 492 sans aucune authentification — pas de clé API, pas d'OAuth, pas de filtre IP. N'importe quel client HTTP peut les appeler. 36,7 % des endpoints testés sont vulnérables au SSRF (Server-Side Request Forgery). Cela signifie qu'un attaquant qui contrôle les entrées des outils peut atteindre les ressources réseau internes.
Sur la même période, plus de 30 CVE ont été déposés en 60 jours. Ce rythme montre à la fois la jeunesse de l'écosystème et l'intensité de l'attention des chercheurs.
Pourquoi le protocole crée un risque PII
MCP donne aux assistants IA le pouvoir d'agir sur les données. C'est aussi pourquoi il constitue un vecteur de risque PII.
Lorsqu'un développeur utilise Cursor ou Claude Desktop avec un connecteur de base de données, l'IA génère du SQL à partir de texte naturel. Ces requêtes retournent des données réelles — noms, emails, données de paiement ou autres PII. Ces données transitent par une chaîne :
- Endpoint de base de données → fenêtre de contexte de l'assistant IA
- Fenêtre de contexte → systèmes de journalisation du fournisseur de modèle
- Historique de conversation → machine locale du développeur
- Sessions de débogage → autres outils IA quand le développeur colle du contexte
Aucune de ces étapes n'est une violation. C'est ainsi que le système fonctionne. Mais les PII se retrouvent dans plusieurs systèmes pas conçus pour les gérer, souvent sans chiffrement entre l'endpoint et le client IA.
CVE-2026-25253 (CVSS 8.8), publié en février 2026, a démontré un vecteur d'attaque concret. Un endpoint malveillant pouvait injecter des instructions cachées dans ses réponses. Ces instructions demandaient à l'IA connectée de récupérer des données depuis d'autres outils actifs. Un développeur utilisant un endpoint communautaire compromis à côté de son propre connecteur de base de données pouvait exposer toute sa base de données.
Les 492 serveurs sans authentification
Les 492 endpoints ouverts représentent un problème différent de CVE-2026-25253. Ils n'ont pas été piratés. Ils ont été mal configurés.
La plupart étaient destinés à fonctionner localement. Quelqu'un les a exposés via du port forwarding ou un déploiement cloud sans contrôle d'accès.
Ce que ces endpoints exposent souvent :
- Outils de système de fichiers avec accès en lecture aux dossiers personnels
- Connecteurs de bases de données avec des identifiants de production dans la configuration
- Outils email liés à des boîtes de réception réelles
- Outils d'exécution de code — code arbitraire, sans auth, sans limites
Les développeurs n'avaient presque certainement pas l'intention de les exposer. Mais Cursor et Claude Desktop se connectent à toute URL dans la configuration. Il n'y a aucune vérification intégrée pour savoir si un hôte est local ou public.
La solution MCP d'anonym.legal
La solution structurelle au risque PII dans les pipelines d'outils est d'anonymiser les données avant qu'elles n'atteignent un appel envoyé à un LLM. C'est ce que fournit le serveur MCP d'anonym.legal.
Il expose 7 outils :
| Outil | Objectif |
|---|---|
analyze_text | Détecter les entités PII et retourner leurs positions et types |
anonymize_text | Supprimer ou pseudonymiser les PII détectées |
deanonymize_text | Inverser la pseudonymisation avec votre clé de chiffrement |
anonymize_batch | Traiter plusieurs textes en un seul appel |
get_supported_entities | Lister les 285+ types d'entités pour une langue donnée |
get_supported_languages | Lister les 48 langues supportées |
health_check | Vérifier la connectivité |
Quand un assistant IA a à la fois le serveur anonym.legal et un connecteur de base de données configurés, le développeur peut instruire : « Avant d'afficher des données clients, appelle anonymize_text sur le résultat. » L'IA gère l'orchestration. Les PII n'atteignent jamais la sortie visible ou l'historique de conversation sous forme identifiable.
Configuration dans Cursor IDE
Pour ajouter le serveur anonym.legal à Cursor :
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Une fois configuré, demandez à Cursor : « Analyse ce ticket de support pour les PII avant que je le colle dans le tracker. » Cursor appelle analyze_text, retourne la liste des entités, et vous décidez si vous anonymisez avant de coller.
Configuration dans Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Avec cette configuration, Claude Desktop peut anonymiser tout texte avant de l'inclure dans des appels d'outils vers d'autres endpoints. Les PII n'atteignent jamais les serveurs d'Anthropic sous forme identifiable.
Renforcer votre configuration
Au-delà d'anonym.legal, appliquez ces étapes. Voir aussi notre présentation sécurité et notre centre de conformité.
Auditez votre liste d'outils. Vérifiez chaque entrée dans votre configuration. Faites-vous confiance à l'opérateur ? Savez-vous à quelles données il peut accéder ?
Préférez le local au distant. Les endpoints locaux fonctionnent via stdio. Ils ne créent aucune exposition réseau. Utilisez les endpoints distants uniquement quand aucune option locale n'existe.
Vérifiez l'authentification. Chaque endpoint distant doit exiger une clé API ou un token OAuth. Sinon, ne l'utilisez pas avec des données utilisateurs réelles.
Séparez dev et production. Gardez des configurations séparées pour le travail de développement (données de test, sans PII) et tout flux touchant de vrais utilisateurs.
Activez les journaux d'audit. S'il supporte les logs, activez-les. Sachez quelles données ont transité par quel appel.
Notre page des fonctionnalités MCP contient la liste complète des types d'entités et des langues.
Les 30+ CVE en 60 jours montrent que le protocole est sous surveillance active. De nouvelles vulnérabilités apparaîtront. Mais la défense centrale — anonymiser avant que les données n'atteignent un appel LLM — tient face à tout CVE spécifique qui arrive ensuite.
Configurer le serveur anonym.legal dans Cursor →
anonym.legal traite l'anonymisation PII côté serveur avec votre clé de chiffrement. Les données pseudonymisées ne sont réversibles qu'avec cette clé. Publié par anonym.legal, certifié ISO 27001.
Sources
- Données d'exposition des serveurs MCP Shodan, mars 2026 — 8 000+ serveurs, 492 sans authentification
- CVE-2026-25253, CVSS 8.8, injection cross-serveur via le Model Context Protocol
- Données SSRF : scan de recherche sécurité des endpoints accessibles publiquement, mars 2026
- Spécification MCP Anthropic v1.2, section considérations de sécurité