« La confiance, c’est comme le Wi-Fi : invisible, mais quand ça ne marche plus, tout le monde panique. » Voilà une sagesse qu’auraient bien aimé méditer les équipes de LiteLLM avant que la tempête ne s’abatte sur leur passerelle IA chérie, prisée par des millions de développeurs. Imaginez : vous installez un chatbot sympa, et paf, il vous échange vos mots de passe contre des histoires à dormir debout ! La semaine dernière, LiteLLM a en effet vu sa version open source contaminée par un vilain malware voleur de credentials… Pas de quoi rigoler, sauf si on aime rire jaune.
Avant cette mésaventure, LiteLLM déroulait le tapis rouge en exhibant fièrement non pas un, mais deux beaux tampons de conformité sécurité. Une aubaine signée Delve, une startup spécialisée dans la conformité IA (du moins, c’est ce qu’ils disaient en toute confiance – spoiler : on va y revenir). Ces certificats sont censés rassurer : « Circulez, y’a rien à voir ! Ici la sécurité, c’est sérieux. » Hélas, les mauvaises surprises sont parfois cachées dans le placard à balais.
Car voilà que Delve s’est fait épingler par des accusations pas très reluisantes de clients furibards : faux rapports, données bidouillées, et auditeurs souples comme du chewing-gum. Bref, le genre de conformité qui tient plus du numéro de prestidigitation que du solide blindage. Le fondateur de Delve, quant à lui, dément en bloc et propose même, dans un grand élan d’assurance (ou de désespoir ?), des ré-audits gratuits pour tous ses clients désormais méfiants. En face, le lanceur d’alerte Delve a remis une pièce dans la machine ce week-end avec des preuves à l’appui — la scène est digne d’un thriller… digital.
C’est dans les pires galères qu’on reconnaît les vraies certifications… ou les plus gros trous dans la raquette !
Face à ces multiples rebondissements, LiteLLM a décidé qu’il était temps de changer de crémerie : sur X, le CTO Ishaan Jaffer a annoncé publiquement qu’ils allaient planter la tente chez Vanta, un concurrent plus en vogue, et surtout, engager un auditeur indépendant pour éviter toute mauvaise surprise sur le menu. Après tout, dans la tech, « move fast and break things » fonctionne mieux quand on n’outrepasse pas les règles du jeu… ni celles de la sécurité.
Tout cela aura au moins eu le mérite de rappeler à la communauté IA que le tampon « sécurisé » ne doit jamais être avalé tout cru sous prétexte qu’il brille fort. Car derrière la façade glossy des startups, il y a parfois plus d’apparat que d’acier trempé. Les certifications restent, après tout, des promesses sur papier, tant que personne n’est allé vérifier que les portes ne battent pas dans le vide.
Alors, prochain épisode dans la grande série des compliance dramas ? Peut-être. Une chose est sûre : LiteLLM a appris à ses dépens qu’on ne confie pas ses clés à n’importe qui, même quand ils promettent d’avoir le double.
Et rappelez-vous : en sécurité comme en humour, il faut toujours garder un œil sur le « certificat ». Sinon, gare à la certification surprise !
Source : Techcrunch




