Il y a six mois, Mercor volait haut après avoir levé une énorme série C de 350 millions de dollars qui valorisait la startup de formation aux données d’IA à 10 milliards de dollars. Mais après avoir admis le 31 mars avoir été la cible d’une violation de données, l’entreprise s’est retrouvée face à de nombreux problèmes.
Depuis lors, un groupe de pirates informatiques a affirmé avoir obtenu 4 To de données volées dans les systèmes de Mercor, notamment des profils de candidats, des informations personnelles identifiables, des données d’employeur, du code source et des clés API. Mercor n’a pas commenté l’authenticité des données, réitérant seulement qu’elle enquête et « continuera à communiquer directement avec nos clients et sous-traitants, le cas échéant, et consacrera les ressources nécessaires pour résoudre le problème dans les plus brefs délais ».
Mercor a déclaré que sa violation de données était le résultat d’un piratage de l’outil open source LiteLLM. Cet outil est si populaire qu’il est téléchargé des millions de fois par jour. Pendant 40 minutes, l’outil a hébergé un logiciel malveillant de collecte d’informations d’identification, un logiciel malveillant capable de voler les informations de connexion. Ces informations d’identification ont été utilisées pour accéder à davantage de logiciels et de comptes, qu’il a ensuite utilisé pour récolter davantage d’informations d’identification, et ainsi de suite.
Bien qu’il n’y ait eu aucune reconnaissance officielle de la quantité de données récupérées auprès de Mercor, il y a tout de même eu des répercussions. Meta a suspendu indéfiniment ses contrats avec Mercor, ont indiqué des sources à Wired. (Mercor a refusé de commenter cela à TechCrunch.)
Comme d’autres sociétés contractuelles de formation aux données d’IA, Mercor gère certains des plus grands secrets commerciaux des modélistes : les ensembles de données personnalisés et les processus qu’ils utilisent pour enseigner leurs modèles. C’est si important pour eux que même après que Meta ait dépensé 14,3 milliards de dollars pour le concurrent de Mercor, Scale AI, elle a continué à travailler avec Mercor.
Bonne nouvelle pour Mercor (peut-être… nous verrons) : OpenAI a également confirmé à Wired qu’elle enquêtait sur son exposition à la violation de Mercor, mais a déclaré qu’elle n’avait pas suspendu ni mis fin à ses contrats à ce moment-là. Cependant, TechCrunch a entendu de plusieurs sources que d’autres grands modélistes pourraient également évaluer leurs relations avec Mercor après la violation, bien que nous n’ayons pas encore confirmé suffisamment de détails pour citer des noms.
Entre-temps, cinq des sous-traitants de Mercor ont intenté des poursuites, rapporte Business Insider, pour leur prétendue exposition de données personnelles. Reste à savoir si ces poursuites représentent une menace sérieuse ou sont simplement opportunistes et nuisibles. (Mercor a refusé de commenter.)
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Un procès, examiné par TechCrunch, a même désigné LiteLLM et Delve comme défendeurs. C’est fou, et peut-être exagéré, mais voici le lien : LiteLLM a utilisé la startup de conformité en matière d’IA Delve pour obtenir ses certifications de sécurité. Delve a été accusé par un lanceur d’alerte anonyme d’avoir prétendument falsifié des données pour des certifications de sécurité et fait appel à des auditeurs agréés.
Une certification de sécurité n’empêche pas directement les pirates de lancer des attaques réussies, mais elle vise à garantir que les entreprises disposent de processus pour minimiser ces menaces.
Bien que Delve ait nié ces allégations tout en instaurant simultanément des changements opérationnels, cela a été un monde de souffrance en soi, au point où Y Combinator a rompu ses liens avec l’entreprise.
LiteLLM a abandonné Delve et travaille désormais avec une autre startup de conformité IA pour obtenir à nouveau ses certifications de sécurité. LiteLLM a également publié un rapport complet sur l’incident de sécurité.
Mais Mercor lui-même n’était pas un client de Delve, a confirmé la société à TechCrunch. Toutefois, si les conséquences pour Mercor se poursuivent, d’importants revenus pourraient être en jeu. La société aurait été en passe d’atteindre plus d’un milliard de dollars de chiffre d’affaires annualisé plus tôt cette année avant la fuite de données, a déclaré une source anonyme à The Information.
