La startup française de technologie fait face à un chantage numérique inédit. Des pirates menacent de publier son code source interne sous sept jours.
Une cyberattaque contre Mistral AI a été lancée le 12 mai 2026. L’intrusion a été remarquée sur le darkweb. Selon les dernières informations, c’est le groupe cybercriminel TeamPCP qui revendique publiquement cette action sur le forum anglophone French Breaches. Les pirates affirment détenir 5 gigaoctets d’archives internes de la société. Ce butin contient précisément 450 dépôts Git privés qui appartiennent à l’organisation. Les dossiers portent les noms de « mistralai » et de « mistral-solutions ».
🔴🇫🇷 Mistral AI : un groupe de hackers affirme vendre 5 Go de dépôts internes et de code source attribués à l’entreprise française spécialisée en intelligence artificielle, pour jusqu’à 25 000 $.
Selon les déclarations publiées, les hackers affirment disposer de près de 450… pic.twitter.com/rlQmWT0L0Z— Seb (@seblatombe) May 13, 2026
Les pirates demandent 25 000 dollars, soit 21 420 euros, de rançon. Ils exigent un paiement sous forme de cryptomonnaies anonymes. Sans cela, ils menacent de diffuser gratuitement ces données. Ils donnent jusqu’au 20 mai 2026 à l’entreprise pour payer. Ainsi, Mistral AI frappés par une cyberattaque d’envergure perdent le contrôle de leurs secrets.
Quelles données précises ont été dérobées par les pirates ?
Les hackers ont volé du code backend, des outils métiers et des documents commerciaux. La liste complète des fichiers dérobés sur le forum a été Breached. On y trouve des fichiers pour l’inférence et le fine-tuning des modèles ainsi que des outils pour la finance, la santé et le droit. Un fichier nommé « pfizer-rfp-2025.tar.gz » y figure aussi. Ce document détaille l’appel d’offres du laboratoire pharmaceutique américain Pfizer.
‼️🇫🇷 Mistral AI allegedly breached: ~5GB of internal source code and ~450 private repositories exposed from the French AI company by TeamPCP
— Dark Web Informer (@DarkWebInformer) May 13, 2026
A threat group is selling approximately 5GB of internal repositories and source code allegedly belonging to Mistral AI and Mistral… pic.twitter.com/8oUjqC81ne
Les fichiers contiennent aussi le code lié à la gestion des abonnements API, ainsi que des métriques de facturation et des fonctions d’export. Par ailleurs, d’autres archives ciblent l’évaluation de la sécurité des chatbots. Les criminels déploient des malwares incontrôlables pour espionner ces structures.
Quelle est la réponse officielle de l’entreprise Mistral AI ?
Mistral AI confirme une intrusion temporaire. Elle minimise par contre l’impact réel de ces fuites sur ses services d’après les publications du journal le Parisien le 12 mai 2026 dernier. L’Agence Radio France a également reçu cette confirmation. La direction Mistral AI estime que l’intrusion provient d’un fournisseur de logiciels tiers externe. L’attaque a d’abord touché l’ordinateur personnel d’un développeur de l’équipe. Ensuite, les pirates ont contaminé plusieurs kits de développement de la firme.
La startup affirme avoir neutralisé rapidement la menace informatique. Elle assure qu’aucune donnée client n’est compromise par ce piratage. Les environnements de recherche et les outils de test n’ont pas été touchés. Les utilisateurs peuvent profiter des avantages de l’intelligence artificielle en toute sécurité.
Un logiciel malveillant sophistiqué et persistant
Mistral AI lie l’incident à l’attaque TanStack selon l’avis de sécurité que Mistrat AI a publié. Les chercheurs en cybersécurité ont identifié le ver « Mini Shai-Hulud » Il l’attribuent au groupe TeamPCP. Les pirates ont infecté trois versions spécifiques du paquet principal de l’entreprise. Les variantes des plateformes Azure et GCP ont également subi cette attaque. L’exposition sur la plateforme publique npm a duré exactement 188 minutes.
Les pirates ont envoyé un premier paquet de faux certificats de niveau SLSA 3. Ils ont volé des jetons depuis les pipelines GitHub Actions de TanStack. Le binaire malveillant s’est ainsi caché sous l’identité des mainteneurs officiels. Le virus s’est ensuite installé dans les dossiers cachés de l’outil Claude Code. Cela lui a permis de modifier les tâches d’auto exécution du logiciel VS Code. Cette action entraîne le redémarrage du payload à chaque ouverture d’un outil de développement local.
Le logiciel télécharge un fichier nommé « transformers.pyz » pour tromper la vigilance. Ce nom imite la célèbre bibliothèque de l’organisation Hugging Face. Le code malveillant cherche activement des identifiants cloud et des jetons GitLab, ainsi que les coffres-forts de mots de passe 1Password et Bitwarden. Tous ces détails ont été publiés sur le forum French Breaches. Ils ont dû cloner les dépôts avant la révocation des clés de sécurité. La rançon demandée reste dérisoire par rapport à la valorisation de la startup selon les pirates.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
