MCP : la faille qui rattrape les banques sur l'IA agentique

La societe de cybersecurite OX Security a publie le 15 avril 2026 un rapport documentant une vulnerabilite architecturale dans le Model Context Protocol (MCP), le standard ouvert par lequel les agents IA dialoguent avec leurs outils externes. Le defaut concerne le mode de transport « stdio » utilise par defaut par les SDK officiels en Python, TypeScript, Java et Rust. Le bilan d'impact, chiffre par les chercheurs : jusqu'a 200 000 instances vulnerables, plus de 150 millions de telechargements des paquets concernes, 10 CVE deja publiees, et 9 directories MCP sur 11 testes compromis lors d'un exercice de marketplace poisoning.

Le 21 avril, le quotidien financier American Banker a relaye l'affaire pour le secteur bancaire. JPMorgan Chase, Citi, BNY Mellon, PNC et Capital One sont identifies parmi les utilisateurs reguliers d'agents IA en production. La position d'Anthropic, citee par les chercheurs : le comportement est « expected », et la securisation des entrees utilisateur releve du developpeur. En clair, l'editeur considere que la conception est conforme a ses intentions et ne declenche aucun patch protocolaire.

L'enjeu juridique americain est documente. Une note interagences de 2023, signee par la Reserve federale, la FDIC et l'OCC, rappelle que « le recours a des tiers ne diminue en rien la responsabilite » d'une banque sur la surete de ses operations. Traduit : si une faille MCP non corrigee chez Anthropic produit un incident chez une banque, c'est la banque qui repond.

« Expected » : un mot qui change la responsabilite

Le mot « expected » est central. Quand un editeur reconnait un comportement comme conforme a son design, l'evenement quitte le champ du bug et entre dans celui du risque operationnel a documenter. Une CVE classique se patche, se ferme, et se range dans un journal de versions. Une decision de design refuse de bouger.

Cela renverse la doctrine que la plupart des risk managers appliquent encore aux dependances logicielles. La presomption habituelle : un editeur serieux corrige les vulnerabilites critiques de son protocole, on suit les versions, on documente les exceptions. Avec MCP, la version corrigee n'existe pas et n'existera pas. Ce qui existe, ce sont des recommandations d'usage : utiliser stdio « with caution », valider toutes les entrees, restreindre les droits du subprocess. Ces recommandations transferent la charge sur l'integrateur. Pour une banque qui a deja des dizaines d'equipes en pilote IA, c'est une multiplication mecanique des controles a formaliser.

Le contexte temporel est tendu. Le 10 avril 2026, le Secretaire au Tresor Scott Bessent et le president de la Fed Jerome Powell avaient deja convoque les CEO de Goldman Sachs, Citigroup, Morgan Stanley, Bank of America et Wells Fargo pour discuter du modele Mythos d'Anthropic et des risques cyber derives. La Banque centrale europeenne prepare des questionnaires similaires pour les banques de la zone euro. Le decor reglementaire est pose : tous les superviseurs majeurs s'attendent a ce que les banques aient une cartographie a jour de leurs expositions MCP. La faille OX Security tombe donc au pire moment du cycle politique.

Le probleme de la chaine tierce

L'ecosysteme IA bancaire ressemble de moins en moins a une chaine d'editeurs verticaux. Une banque achete un modele de fondation a OpenAI ou Anthropic, l'expose via une couche d'orchestration MCP, branche des serveurs MCP open-source pour interroger Snowflake ou Bloomberg, et deploie le tout via des assistants comme Cursor, Claude Code ou GitHub Copilot. Tous ces composants figurent dans la liste OX Security : LangFlow, GPT Researcher, Windsurf, Claude Code, Cursor, Gemini-CLI, GitHub Copilot. La surface d'attaque ne s'arrete pas au perimetre direct de la banque ; elle remonte au moindre paquet npm ou pip importe par le developpeur.

Trois consequences pratiques.

Premiere consequence. La cartographie SBOM (Software Bill of Materials) des banques n'est pas adaptee. Les inventaires de dependances logicielles ne tracent pas, aujourd'hui, l'usage de stdio MCP par sous-projet. Les equipes risque IT vont devoir construire un nouvel inventaire transversal, et le faire vite. La cartographie des CVE deja publiees donne le point de depart, mais ne couvre que les paquets recenses.

Deuxieme consequence. Les banques regionales et les fintechs sont plus exposees que les grandes. Carter Pape, l'auteur de l'enquete American Banker, note que moins de 10 % des banques utilisent reellement l'IA sur des charges de production critiques. Mais les acteurs qui ont franchi le pas, comme JPMorgan Chase avec ses 200 000 collaborateurs sur LLM Suite, ont une surface plus visible et un poids systemique plus important. La premiere alerte publique post-MCP sera regardee a la loupe.

Troisieme consequence. L'argument concurrentiel d'OpenAI face a Anthropic se durcit. OpenAI a annonce en mars 2026 une suite d'outils financiers qui rivalise directement avec celle d'Anthropic. La controverse MCP donnera a OpenAI un argument commercial naturel sur les comptes bancaires conservateurs : un protocole alternatif, ou une couche de securite native sans dependance a stdio.

Ce que les banques peuvent faire (et la limite)

Le reflexe bancaire est documente. La SR Letter de 2023 sur le third-party risk management definit deja le cadre. Concretement, trois actions tombent sous le sens.

Desactiver stdio par defaut, et imposer a la place un transport a privileges controles (HTTP authentifie, sockets nommes avec controle d'acces). Forcer la revue manuelle de toute commande emise par un agent vers un sous-processus. Ajouter une couche de logging exhaustif des appels MCP, condition de toute investigation post-incident.

Le cout n'est pas marginal. Pour une banque qui industrialise un copilote IA sur plusieurs milliers d'utilisateurs, ces controles ralentissent la latence de quelques centaines de millisecondes et imposent une revue de chaque integration deja deployee. Et chaque mois passe a durcir l'infrastructure est un mois perdu pour experimenter sur des cas d'usage metier. La fenetre strategique 2026-2027, dans laquelle Wall Street pousse l'IA a marche forcee, se retrecit donc pour les banques qui prennent le sujet au serieux.

La limite est plus profonde : aucune mesure defensive ne corrige un defaut de conception. Les banques peuvent contourner stdio, elles ne peuvent pas changer la philosophie d'Anthropic sur ce que recouvre la responsabilite de l'editeur. Si MCP devient le standard de fait, la situation deviendra structurelle. C'est ce que les regulateurs commencent a appeler le risque de concentration des fournisseurs IA, deja identifie par le Financial Policy Committee de la Bank of England en mars 2026.

Vu de mon poste de travail

Le Bloomberg Dashboard que j'ai construit utilise precisement la chaine incriminee : un client Claude qui appelle des outils via MCP pour parser des rapports d'entreprise et extraire des ratios. A l'echelle d'un projet personnel, l'enjeu reste mesure ; la machine qui l'execute est sous mon controle, et les commandes generees sont triviales. Mais l'exercice m'a deja appris que les agents IA produisent des appels d'outils dont la formulation surprend regulierement le developpeur.

Quand je rejoindrai l'AFD a la rentree 2026 pour une alternance ALM, le sujet de la tracabilite des agents sera dans la ligne de mire des equipes risque operationnel. Une banque de developpement n'est pas un trader haute frequence, mais elle est responsable de processus de validation credit, de notations souveraines, de recouvrement, ou la moindre injection de commande non tracee serait inacceptable. Le MSc Data & AI for Finance que je commence en septembre a Albert School a justement ete construit pour ce moment de bascule, ou la finance ne peut plus traiter les modeles comme une boite noire externalisee.

Take-away

La faille MCP ne va pas casser une banque demain matin. Elle va, en revanche, obliger chaque comite des risques a se poser une question simple : pour chaque agent IA en production, qui porte la responsabilite juridique du prochain incident ? Tant que cette question n'a pas de reponse ecrite, le « expected » d'Anthropic reste celui d'une banque qui assume une exposition qu'elle n'a pas chiffree.