Mistral AI affiche 11,7 milliards d'euros de valorisation et porte le drapeau de la souveraineté numérique européenne depuis la série C menée par ASML en septembre 2025. Le 11 mai 2026, un groupe nommé TeamPCP publie sur un forum cybercriminel anglophone une revendication de 5 Go contenant près de 450 dépôts Git privés attribués à la décacorne française, avec mise à prix à 25 000 dollars et menace de diffusion publique sous une semaine. Ces deux faits sont vrais en même temps. Le champion souverain européen a vu son SDK officiel passer brièvement sous contrôle d'un ver automatisé.
Infrastructure du compromis
L'avis de sécurité MAI-2026-002 publié par Mistral AI le 12 mai 2026 reconnaît la compromission temporaire d'un système de gestion de code à travers une attaque de chaîne d'approvisionnement logicielle d'un tiers. La chronologie est étroite. Les packages npm @mistralai/mistralai (versions 2.2.2, 2.2.3, 2.2.4), @mistralai/mistralai-azure et @mistralai/mistralai-gcp (versions 1.7.1, 1.7.2, 1.7.3) sont publiés en versions vérolées le 11 mai 2026 à 22h45 UTC et retirés le 12 mai à 01h53 UTC. Le package PyPI mistralai==2.4.6 apparaît le 12 mai à 00h05 UTC et reste exposé jusqu'à 03h05 UTC. Trois heures, fenêtre suffisante pour qu'un poste développeur soit infecté.
L'attaque originelle vise l'écosystème TanStack, bibliothèques JavaScript dont @tanstack/react-router totalise plus de 12 millions de téléchargements hebdomadaires selon l'API npm publiée par Snyk en mai 2026. La faille reçoit l'identifiant CVE-2026-45321 avec un score CVSS de 9,6 sur 10. StepSecurity attribue la campagne au groupe TeamPCP, déjà lié à la compromission du scanner Trivy d'Aqua Security en mars 2026 et du package npm Bitwarden CLI en avril 2026.
Le ver, baptisé Mini Shai-Hulud, télécharge un fichier transformers.pyz depuis l'adresse IP 83.142.209.194 vers /tmp, puis lance un processus détaché en arrière-plan sur Linux. Le nom est choisi pour imiter la bibliothèque Transformers de Hugging Face, omniprésente dans les environnements IA. Il cherche les jetons GitHub, npm, GitLab et CircleCI, les identifiants cloud AWS, GCP et Azure, les secrets Kubernetes et Vault, et désormais les coffres-forts 1Password et Bitwarden. Wiz a publié l'analyse forensique complète le 13 mai 2026.
Marché noir et noms de dépôts
TeamPCP fixe le prix à 25 000 dollars pour un acheteur exclusif. Le seuil est dérisoire au regard d'une valorisation à onze chiffres. La logique économique n'est pas celle d'une rançon classique mais celle d'un bruit publicitaire ciblé. Les attaquants déclarent à French Breaches avoir cloné les dépôts dans l'urgence, avant la révocation des clés.
Les noms d'archives publiés dans la revendication, listés par Clubic le 14 mai 2026, dessinent trois couches. D'abord le cœur technique, mistral-inference-internal.tar.gz, mistral-finetune-internal.tar.gz, mistral-common-internal.tar.gz, xformers.tar.gz, surge-validators.tar.gz. Puis les outils métiers verticalisés, mistral-finance-agent.tar.gz, mistral-lawyer-internal.tar.gz, kyc-doc-agent.tar.gz, cma-customer-care-internal.tar.gz, chatbot-security-evaluation.tar.gz. Enfin les projets clients nommément identifiables, dont pfizer-rfp-2025.tar.gz, suggérant une réponse à appel d'offres avec le géant pharmaceutique américain. Aucun lien ne signifie que Pfizer ait été breaché lui-même.
Le porte-parole de Mistral AI, contacté par Numerama et Le Parisien le 13 mai 2026, qualifie ces dépôts de "non critiques" et affirme qu'aucun service hébergé, aucune donnée utilisateur, aucun environnement de recherche n'ont été touchés. Cette ligne de défense est conforme au playbook habituel. Elle ne dit rien de la valeur stratégique des dépôts secondaires pour un concurrent ou un acteur étatique.
Inertie et fenêtre temporelle
Le temps de détection externe sur TanStack a été de 20 minutes selon le post-mortem publié par l'équipe TanStack. Le temps de remédiation côté Mistral, de l'horodatage du push malveillant à la quarantaine PyPI, a été d'environ trois heures. Pour une entreprise qui revendique la souveraineté technologique européenne, ces trois heures suffisent à exposer un poste développeur, et un seul poste développeur infecté ouvre la porte aux dépôts privés que le poste pouvait cloner.
Le porte-parole Mistral indique précisément qu'un appareil développeur compromis serait impliqué. Cette formulation, signalée par Cryptonaute le 13 mai 2026, délimite la responsabilité au périmètre du poste de travail. Elle n'exclut pas que ce poste ait disposé d'un accès large à des dépôts non publics. L'hypothèse technique reste compatible avec la revendication de 450 dépôts.
Notons que TeamPCP a brièvement publié le code source du ver Shai-Hulud sur GitHub avant retrait, selon Orca Security le 13 mai 2026. Des copies miroir circulent désormais. Ce qui distingue cette campagne des précédentes n'est pas son volume mais sa nouveauté technique. Les packages malveillants ont été publiés avec une attestation de provenance SLSA cryptographique valide, propriété qu'aucune attaque de supply chain antérieure n'avait démontrée. Le certificat censé prouver l'authenticité a été retourné contre les utilisateurs.
Analyse transversale, la souveraineté à l'épreuve de npm
Le narratif souverain européen porté par Mistral repose sur trois piliers, modèles open source sous Apache 2.0, données restant en Europe, clause anti-rachat extra-UE. ASML détient 11 % du capital depuis septembre 2025 et siège au conseil de surveillance, selon Maddyness le 9 septembre 2025. La construction du premier data center propriétaire de Mistral en Essonne, annoncée par Arthur Mensch en février 2025, vise à échapper au CLOUD Act américain et à la FISA.
L'incident TanStack révèle ce que le récit souverain ne dit pas. La chaîne d'approvisionnement logicielle d'un champion de l'IA générative repose massivement sur des écosystèmes open source américains, GitHub, npm, PyPI, Hugging Face. Une compromission d'un repository tiers à San Francisco se propage en moins d'une heure dans les packages officiels d'une décacorne française. Ironiquement, ASML, qui apporte la souveraineté capitalistique, n'apporte aucune souveraineté sur la couche développeur de Mistral.
Le parallèle avec OpenAI vaut d'être posé. OpenAI a confirmé avoir été touché par la même vague Mini Shai-Hulud, avec deux appareils employés compromis et exposition d'identifiants internes selon BleepingComputer le 13 mai 2026. La différence ne tient pas à la qualité des défenses. Elle tient à ce que la France a une seule décacorne dans le secteur, et que la moitié du CAC 40 dépend désormais de ses modèles selon le communiqué officiel Mistral de septembre 2025.
Cinq angles morts du dossier
Biais de linéarité
L'hypothèse implicite est qu'une compromission de SDK conduit nécessairement à une fuite de dépôts privés. Ce n'est pas mécanique. Un poste développeur infecté peut avoir des accès limités, des tokens scopés finement, une session courte. La revendication de 450 dépôts par TeamPCP reste à ce jour non vérifiée publiquement par échantillon authentifié. Cyberattaque.org indique au 14 mai 2026 que les attaquants n'avaient pas publié de samples confirmant l'authenticité du butin complet.
Cohésion du bloc d'acteurs concernés
Mistral n'est qu'une cible parmi 170 packages compromis selon les données OX Security relayées par The Hacker News le 13 mai 2026. UiPath, OpenSearch, Guardrails AI, TanStack lui-même sont touchés. Le cumul atteint 518 millions de téléchargements hebdomadaires affectés. Le bloc "victimes" est hétérogène, vendors d'automatisation, infrastructure de recherche, frameworks frontaux, plateformes IA.
Points de contestation factuels
Mistral affirme que le payload npm était techniquement non fonctionnel à cause d'un fichier référencé inexistant, position confirmée par Wiz le 13 mai 2026. Si cette affirmation tient, l'impact réel via npm est résiduel. Le payload PyPI, lui, était opérationnel. La distinction technique nuance la portée du sinistre mais ne disqualifie pas la revendication TeamPCP, qui parle d'accès à des dépôts via un poste développeur, pas via le SDK lui-même.
Limites méthodologiques
Aucune source primaire ne permet aujourd'hui de quantifier l'écart entre les 450 dépôts revendiqués et les "dépôts non critiques" reconnus par Mistral. L'enquête forensique conjointe avec les autorités françaises, annoncée par Mistral dans son communiqué Numerama du 13 mai 2026, n'a pas encore livré ses conclusions. La fenêtre d'évaluation officielle reste à venir.
Scénario alternatif crédible
Hypothèse alternative, TeamPCP gonfle artificiellement le volume pour soutenir la mise à prix. Le butin réel se limiterait à une trentaine de dépôts secondaires, sans modèle propriétaire ni jeu de données client. Cette hypothèse est cohérente avec la posture officielle Mistral et avec la pratique connue des forums cybercriminels, où la valorisation des butins est régulièrement inflatée. Elle reste à confirmer par publication d'un échantillon authentifié.
Conséquences stratégiques
Le seuil critique se mesure non au nombre de gigaoctets mais à la nature des dépôts si la revendication est authentifiée. Un code d'inférence propriétaire peut être contourné en quelques semaines par un acteur disposant de ressources GPU. Un workflow de fine-tuning interne dévoile la méthode, pas seulement le produit. Un dépôt comme pfizer-rfp-2025.tar.gz, s'il contient des conditions commerciales, expose la stratégie de pricing d'un acteur souverain auprès d'un client américain.
L'horizon décisif est court. TeamPCP a annoncé une publication libre dans la semaine suivant le 11 mai, échéance située autour du 19 ou 20 mai 2026 selon Clubic le 14 mai 2026. Si la fuite intervient, l'audit technique du contenu par la communauté open source sera quasi-instantané. Si elle n'intervient pas, la question deviendra celle de la véracité initiale de la revendication.
La leçon dépasse l'incident. Bpifrance a célébré le 11 mars 2026 Mistral AI comme "pole-position pour devenir le champion européen de l'IA". Cette pole-position se joue à 22h45 UTC un dimanche soir, sur un repository GitHub forké par un compte créé à San Francisco. Souveraineté capitalistique acquise, souveraineté opérationnelle non.
La question pertinente n'est pas combien de dépôts ont fuité. La question pertinente est de savoir si un champion souverain européen peut être souverain en étant assis sur une chaîne d'approvisionnement logicielle qui ne l'est pas.
La doctrine de souveraineté technologique européenne se mesure désormais aux trois heures où un SDK Mistral a échappé à son propriétaire. La prochaine vague Shai-Hulud frappera avant que Bruxelles ait fini de rédiger sa réponse.
Cédric Pellicer