La pépite française de l’IA a confirmé au Parisien avoir été ciblée par un groupe de hackers se faisant appeler Team PCP. L’attaque, datée du 12 mai 2026, est passée par la chaîne d’approvisionnement logicielle d’un tiers et a temporairement compromis un système interne de gestion de code. Les pirates affirment avoir exfiltré 5 Go de données et 450 dépôts privés. Ils en demandent jusqu’à 25 000 dollars sur des forums de cybercriminalité, faute de quoi les fichiers seront publiés dans les prochains jours.
Une attaque par supply chain logicielle, vecteur favori des groupes étatiques
Selon le communiqué transmis par Mistral, l’incident relève d’une attaque par contamination de la chaîne d’approvisionnement logicielle. Concrètement, les attaquants se sont infiltrés via un fournisseur tiers de la startup, ont compromis un de ses outils, puis ont injecté du code malveillant dans des packages SDK utilisés en interne. Cette technique est devenue le mode opératoire favori des groupes APT (Advanced Persistent Threat) depuis l’attaque SolarWinds en 2020, parce qu’elle permet de contourner les défenses périmétriques des entreprises ciblées.
Mistral assure avoir neutralisé l’attaque rapidement et que l’incident est désormais résolu. Selon son enquête interne, les pirates n’auraient eu accès qu’à des dépôts jugés « non essentiels ». L’entreprise précise que ni les services en ligne, ni les données utilisateurs, ni les outils de test et de recherche n’ont été touchés. Une formulation prudente qui contraste avec la liste détaillée publiée par les attaquants.
Ce que Team PCP affirme avoir récupéré
Le groupe, qui a transmis un échantillon au site French Breaches pour preuve, prétend disposer de plusieurs briques techniques sensibles : dépôts internes, code source lié à l’inférence IA, outils de fine-tuning, systèmes de benchmarking, dashboards et plateformes internes, projets expérimentaux, et des solutions futures liées aux modèles IA de Mistral. Un extrait diffusé par les hackers contiendrait notamment du backend lié à la gestion des clients, aux abonnements API, aux calculs de coûts d’usage, aux métriques de facturation et aux fonctionnalités d’export de données.
Réponse des attaquants au démenti partiel de Mistral : « S’ils ne considèrent pas cela comme critique, c’est leur choix. » Une provocation classique qui vise à pousser à la rançon ou à la vente.
Le timing tombe en pleine offensive politique d’Arthur Mensch
L’incident intervient à un moment particulièrement délicat pour Mistral. Le 12 mai justement, le jour de l’attaque, son CEO Arthur Mensch était auditionné par la commission d’enquête de l’Assemblée nationale sur les vulnérabilités du secteur numérique français. Il y a notamment alerté sur les risques que ferait peser un déploiement de Mythos, l’IA agentique d’Anthropic, sur les bases de code militaires françaises. Quelques heures plus tard, c’est sa propre infrastructure qui était violée.
Le contraste est cruel : Mensch plaide pour la souveraineté numérique européenne, met en avant la nécessité de protéger les systèmes critiques face aux IA étrangères, et son entreprise se retrouve elle-même incapable de protéger ses dépôts contre un groupe inconnu utilisant une faille de supply chain. Sur LinkedIn, des spécialistes en cybersécurité notent que la communication de Mistral, axée sur le caractère « non essentiel » des données touchées, reproduit les éléments de langage standards des entreprises tech américaines confrontées à ce type d’incident.
Une licorne valorisée à 11,7 milliards d’euros sous pression
Mistral AI, fondée en avril 2023 par Arthur Mensch, Guillaume Lample et Timothée Lacroix, est valorisée à 11,7 milliards d’euros depuis sa dernière levée de septembre 2025. Elle reste la seule licorne européenne de l’IA générative capable d’affronter les modèles américains et chinois sur les benchmarks. Mais sa fragilité face aux attaques d’aujourd’hui pose une question structurelle : les startups européennes ont-elles les moyens humains et financiers de tenir le niveau de sécurité opérationnelle que demande leur position stratégique ?
L’enquête est désormais ouverte. La CNIL pourrait être saisie si des données personnelles d’utilisateurs sont concernées, ce que Mistral nie pour l’instant. L’ANSSI, qui suit les incidents touchant les acteurs critiques du numérique français, n’a pas commenté publiquement à ce stade.
Sources : Le Parisien, L’Informaticien, French Breaches.
