Décrypter MCP, de la théorie à la pratique et sa sécurité

J'adore découvrir les nouveautés qui tournent autour du développement .NET

En 2000, je vous parlais déjà de .NET avant sa sortie officielle, il y a déjà 7 ans, je vous faisais découvrir Blazor et en 2023 on explorait les premières versions de Semantic Kernel.

Cette année, mon petit doigt me dit que les 3 lettres MCP vont être au coeur des discussions.

Dans cet épisode, je vous présente ses principes fondamentaux, la théorie et la mise en pratique avec des exemples concrets qui vous permettrons de mieux comprendre cette hype autour de MCP.

devdevdev .NET épisode 68, MCP au coeur de l'IA, c'est parti !!!

Anthony Simon Staff developer software developer chez Worklip D. net expert technical leader et blog et blogger sur son blog post qui est anthonysimilimon.com et également Laurent Kempé Bonjour Salut tout le monde Microsoft MVP depuis 2003.

Les participants

• Anthony Simmon, (Lien LinkedIn) Staff Software Developer chez Workleap, .NET Expert, Technical Leader & Blogger (https://anthonysimmon.com/)
• Laurent Kempé, Microsoft MVP, Distinguished Solution Architect (https://laurentkempe.com)

Les liens de l’épisode

Le code source utilisé pour les demos : https://github.com/RichardC64/MCP-Playgrounds

Le serveur MCP client Microsoft Graph : https://github.com/merill/lokka

Le code source du serveur MCP de Github : https://github.com/github/github-mcp-server

Vous voulez consommer des serveurs MCP. Voici des sites qui les référencent :

• Sur le site officiel : https://github.com/modelcontextprotocol/servers
• Un autre site (non officiel) : https://github.com/punkpeye/awesome-mcp-servers

Les articles de Laurent sur le sujet :

• https://laurentkempe.com/2025/03/22/model-context-protocol-made-easy-building-an-mcp-server-in-csharp/
• https://laurentkempe.com/2025/03/27/dockerizing-your-dotnet-csharp-mcp-server-for-ai-clients-like-claude-desktop/
• https://laurentkempe.com/2025/04/05/sse-powered-mcp-server-with-csharp-and-dotnet-in-157mb-executable/

décrypter MCP, de la théorie à la pratique – devdevdev.net

https://devdevdev.net/decrypter-mcp-de-la-theorie-a-la-pratique/

L’épisode sur Youtube

Pensez à vous abonner à notre 📺 chaine Youtube 📺

Voici un résumé en 10 points avec timestamps du podcast "Décrypter MCP, de la théorie à la pratique" :

---

🔹 Résumé en 10 points avec timestamps

1. [00:01] Introduction au sujet et historique
   L’hôte rappelle son intérêt de longue date pour les nouveautés dans le développement .NET, et annonce que le protocole MCP (Modèle Contexte Protocole) sera central en 2025.

2. [01:18] Présentation des invités

   • Anthony Simon (developer chez Worklip, blogueur)

   • Laurent Kempé (Microsoft MVP, architecte chez Inobo)

3. [02:38] Définition de MCP
   MCP, open-source depuis novembre 2024 par Anthropic, vise à améliorer l'interaction entre IA et outils externes avec une approche normalisée, contrairement aux API REST traditionnelles.

4. [05:18] Avantages du protocole MCP
   Il permet une extensibilité plug-and-play et une interopérabilité plus simple entre les IA et les services/outils, en centralisant la logique dans un protocole commun.

5. [14:28] Analogie avec l’USB-C
   MCP est décrit comme le "USB-C des LLM" : une interface universelle entre l’IA et les outils, où le client expose son contexte au serveur, et non l’inverse.

6. [21:24] Types de transport supportés
   MCP fonctionne via STDIO (in-process) ou streamable HTTP. La sécurité est cruciale, car certaines configurations permettent au serveur d'accéder au disque local, posant des risques.

7. [30:10] Intégration dans les projets .NET
   L’ajout de MCPServerTool permet d'exposer des méthodes à l’IA comme des outils (ex : un outil "écho"). Très peu de code est nécessaire pour l’intégration.

8. [42:08] Exemple concret avec Visual Studio Code
   Une démo montre un client qui appelle un serveur MCP avec un tool "Echo", l’IA traite la requête et interagit de manière fluide avec l’environnement de développement.

9. [57:00] Benchmark et performance des LLMs
   Le podcast évoque le Berkeley Function Calling Leaderboard pour évaluer la compatibilité des LLM avec les tools MCP. Exemple d’utilisation de Ollama pour gérer les costs.

10. [1:12:30] Perspectives et sécurité
    Discussion autour d’un potentiel marketplace de serveurs MCP, des problématiques d’authentification et de la sécurité, notamment en environnement Docker/cloud.

---

Les aspects sécurités :

Voici une extraction des passages liés à la sécurité dans la transcription du podcast "Décrypter MCP, de la théorie à la pratique" :

---

🔐 Sujets liés à la sécurité dans le contexte du protocole MCP :

1. Accès au système de fichiers par le serveur MCP (25:47) :

   "Un autre serveur MCP qui s'appelle F system [...] permet de voir ce qu’il y a sur ton disque dur."
   ➤ Cela soulève des enjeux importants de sécurité quant à la protection des données locales accessibles par les outils distants.

2. Exécution avec droits administrateur (23:11) :

   "Si ton application est lancée en tant qu’admin, ton NPX est admin... et là, c’est l’intelligence universelle qui contrôle ta machine."
   ➤ Risque élevé si le LLM ou le serveur MCP peut exécuter des outils avec les privilèges administrateur. Cela pourrait exposer tout le système.

3. Utilisation de STDIO vs Docker et notion de sandboxing (21:24) :

   "Quand tu lances un container Docker et que tu échanges via STDIO, c’est pas le même process..."
   ➤ Discussion sur la séparation des processus : isolation des outils, sécurité du runtime, confinement via conteneurs.

4. Authentification pour accéder à des services comme Jira (1:16:42) :

   "Pour accéder à Jira, il faut fournir une certaine forme d’authentification."
   ➤ Nécessité de protéger les identifiants, de limiter les accès, et d’implémenter une gestion fine des permissions.

5. Omission volontaire du volet sécurité (1:16:59) :

   "On n’a pas finalement parlé de la sécurité."
   ➤ Reconnaissance par les intervenants que la sécurité n’a pas été abordée en détail, ce qui souligne son importance potentiellement sous-estimée.

---

Voici une extraction des enjeux de sécurité liés au protocole MCP (Machine Communication Protocol).

 Ceci en lien avec l’intégration d’assistants IA et la communication avec des systèmes d'information :

---

🔐 Sujets de sécurité concernant le protocole MCP

1. Authentification et contrôle d’accès

• Risque : accès non autorisé à des systèmes critiques via MCP.

• Mesures :

  • Intégration de mécanismes d’authentification forte (MFA, certificats).

  • Définition fine des rôles et permissions (RBAC/ABAC).

  • Journaux d’audit détaillés.

2. Chiffrement des communications

• Risque : interception ou manipulation des données en transit (attaque Man-in-the-Middle).

• Mesures :

  • Utilisation de TLS/SSL pour toutes les communications.

  • Vérification d’intégrité des messages échangés.

3. Validation des données échangées

• Risque : injection de commandes, données corrompues ou malveillantes.

• Mesures :

  • Sanitation et validation stricte des entrées/sorties.

  • Détection d’anomalies ou de comportements suspects.

4. Protection contre les attaques par déni de service (DoS/DDoS)

• Risque : surcharge du système via des requêtes excessives.

• Mesures :

  • Limitation du nombre de requêtes par source (rate limiting).

  • Mécanismes de détection et mitigation des attaques réseau.

5. Surveillance et journalisation

• Risque : compromission silencieuse sans traçabilité.

• Mesures :

  • Logs sécurisés et horodatés des échanges MCP.

  • Intégration avec des systèmes SIEM pour une supervision centralisée.

6. Mise à jour et gestion des vulnérabilités

• Risque : exploitation de failles connues dans les implémentations MCP.

• Mesures :

  • Politique de mise à jour régulière des modules MCP.

  • Tests de pénétration et audits de sécurité périodiques.

7. Séparation des environnements et cloisonnement

• Risque : propagation d’une compromission d’un système à un autre.

• Mesures :

  • Isolation réseau des services critiques.

  • Utilisation de conteneurs ou de machines virtuelles avec MCP restreint.

8. Sécurité de l’IA elle-même

• Risque : manipulation de l’IA via MCP (prompt injection, fuzzing, red teaming).

• Mesures :

  • Filtrage des requêtes IA.

  • Surveillance du comportement de l’IA (outputs inattendus ou dangereux).

---

https://1drv.ms/p/c/c18447817ccb3384/EYQzy3yBR4QggMFLWAYAAAABLB6gcfn7YUbK0QyNrZovDQ?e=f3RaAQ  MISTRAL et MCP

https://1drv.ms/p/c/c18447817ccb3384/EfjDxtoWsexBse2JnqfZX-UBEOdvVcODox-FNWj2CrUVjQ?e=U1xdX0   PPT  Sécurité du Protocole MCP

--- 

 Pierre Erol GIRAUDY 

http://about.me/giraudyerol

mistral-large et OLLAMA

 mistral-large 2

Mistral Large 2 est le nouveau modèle phare de Mistral qui est nettement plus capable de générer du code, de mathématiques et de raisonner avec une fenêtre contextuelle de 128k et la prise en charge de dizaines de langues.  https://mistral.ai/en/news/mistral-large-2407

tools123b

120.9K PullsUpdated 2 months ago

32 Tags

Updated 2 months ago

bbcf36dc47ad · 73GB

model

archllama

·

parameters123B

·

quantizationQ4_K_M

73GB

params

{ "stop": [ "[INST]", "[/INST]", "</s>" ] }

47B

template

{{- if .Messages }} {{- range $index, $_ := .Messages }} {{- if eq .Role "user" }} {{- if and (le (l

896B

license

# Mistral AI Research License If You want to use a Mistral Model, a Derivative or an Output for any

11kB

Mistral-Large-Instruct-2411 est un modèle de langage large (LLM) dense avancé de 123B avec des capacités de raisonnement, de connaissances et de codage de pointe.

Caractéristiques principales

• Multilingue par conception : des dizaines de langues prises en charge, dont l’anglais, le français, l’allemand, l’espagnol, l’italien, le chinois, le japonais, le coréen, le portugais, le néerlandais et le polonais.
• Maîtrise du codage : Formé sur 80+ langages de codage tels que Python, Java, C, C++, JavacScript et Bash. Également formé sur des langages plus spécifiques tels que Swift et Fortran.
• Centré sur l’agentique : les meilleures capacités agentiques de leur catégorie avec appel de fonction natif et sortie JSON.
• Raisonnement avancé : Capacités mathématiques et de raisonnement de pointe.
• Licence Mistral Research : Permet l’utilisation et la modification à des fins de recherche et d’utilisation non commerciale.
• Grand contexte : une grande fenêtre contextuelle de 128 ko.

Mistral Large 2 dispose d’une fenêtre contextuelle de 128k et prend en charge des dizaines de langues, dont le français, l’allemand, l’espagnol, l’italien, le portugais, l’arabe, l’hindi, le russe, le chinois, le japonais et le coréen, ainsi que 80+ langages de codage, dont Python, Java, C, C++, JavaScript et Bash.

Mistral Large 2 est conçu pour l’inférence à nœud unique avec des applications à contexte long à l’esprit - sa taille de 123 milliards de paramètres lui permet de fonctionner à un débit élevé sur un seul nœud. Nous lançons Mistral Large 2 sous la licence de recherche Mistral, qui permet l’utilisation et la modification pour la recherche et les utilisations non commerciales. Pour une utilisation commerciale de Mistral Large 2 nécessitant un auto-déploiement, une licence commerciale Mistral doit être acquise en nous contactant.

Performances générales

Mistral Large 2 établit une nouvelle frontière en termes de performance / coût de service sur les métriques d’évaluation. En particulier, sur MMLU, la version pré-entraînée atteint une précision de 84,0 % et pose un nouveau point sur le front de Pareto performance/coût des modèles ouverts.

Code et raisonnement

Suite à notre expérience avec Codestral 22B et Codestral Mamba, nous avons formé Mistral Large 2 sur une très grande partie du code. Mistral Large 2 surpasse largement le précédent Mistral Large et offre des performances comparables à celles de modèles de premier plan tels que GPT-4o, Claude 3 Opus et Llama 3 405B.

Un effort important a également été consacré à l’amélioration des capacités de raisonnement du modèle. L’un des principaux domaines d’intérêt de la formation était de minimiser la tendance du modèle à « halluciner » ou à générer des informations plausibles, mais factuellement incorrectes ou non pertinentes. Pour ce faire, le modèle a été affiné afin qu’il soit plus prudent et plus perspicace dans ses réponses, en veillant à ce qu’il fournisse des résultats fiables et précis.

De plus, le nouveau Mistral Large 2 est entraîné à accuser réception lorsqu’il ne trouve pas de solutions ou qu’il ne dispose pas de suffisamment d’informations pour fournir une réponse fiable. Cet engagement envers la précision se reflète dans l’amélioration des performances du modèle sur les benchmarks mathématiques populaires, démontrant ses capacités améliorées de raisonnement et de résolution de problèmes :

Précision des performances sur les benchmarks de génération de code (tous les modèles ont été benchmarkés via le même pipeline d’évaluation)

Vous pouvez utiliser Mistral Large 2 dès aujourd’hui via la Plateforme sous le nom de , et le tester sur le Chat. Il est disponible sous la version 24.07 (une version YY. MM que nous appliquons à tous nos modèles), et le nom de l’API . Les poids pour le modèle instruct sont disponibles et sont également hébergés sur HuggingFace.mistral-large-2407mistral-large-2407

https://huggingface.co/mistralai/Mistral-Large-Instruct-2407

mistral-large/model

https://ollama.com/library/mistral-large/blobs/f40bfe11b0b1

mistral-large/license

https://ollama.com/library/mistral-large/blobs/06a6f77f3e95

Nous consolidons l’offre sur la Plateforme autour de deux modèles généralistes, Mistral Nemo et Mistral Large, et de deux modèles spécialisés, Codestral et Embed. Au fur et à mesure que nous déprécions les anciens modèles sur la Plateforme, tous les modèles Apache (Mistral 7B, Mixtral 8x7B et 8x22B, Codestral Mamba, Mathstral) restent disponibles pour le déploiement et la mise au point à l’aide de nos SDK mistral-inference et mistral-finetune.

À partir d’aujourd’hui, nous étendons les capacités de mise au point de la Plateforme : elles sont désormais disponibles pour Mistral Large, Mistral Nemo et Codestral.

Accédez aux modèles Mistral via des fournisseurs de services cloud

Nous sommes fiers de nous associer aux principaux fournisseurs de services cloud pour proposer le nouveau Mistral Large 2 à un public mondial. En particulier, nous étendons aujourd’hui notre partenariat avec Google Cloud Platform pour apporter les modèles de Mistral AI sur Vertex AI via une API managée. Les meilleurs modèles de Mistral AI sont désormais disponibles sur Vertex AI, en plus d’Azure AI Studio, Amazon Bedrock et IBM watsonx.ai.

https://cloud.google.com/blog/products/ai-machine-learning/codestral-and-mistral-large-v2-on-vertex-ai?e=48754805&hl=en

Source en anglais :  

Large Enough | Mistral AI  https://mistral.ai/en/news/mistral-large-2407

Mistral Large 2 :

https://ollama.com/library/mistral-large

llama3.3

New state of the art 70B model. Llama 3.3 70B offers similar performance compared to the Llama 3.1 405B model.

https://ollama.com/library/llama3.3

https://console.mistral.ai/

Mistral AI traite vos données personnelles ci-dessous pour fournir le modèle et faire respecter sa licence. Si vous êtes affilié à une entité commerciale, nous pouvons également vous envoyer des communications sur nos modèles. Pour plus d’informations sur vos droits et le traitement des données, veuillez consulter notre politique de confidentialité.

Licence de recherche Mistral AI

Si vous souhaitez utiliser un Modèle Mistral, un Dérivé ou une Sortie à des fins qui ne sont pas expressément autorisées par le présent Contrat, Vous devez demander une licence à Mistral AI, que Mistral AI peut Vous accorder à la seule discrétion de Mistral AI. Pour discuter d’une telle licence, veuillez contacter Mistral AI via le formulaire de contact du site : https://mistral.ai/contact/

1. Champ d’application et acceptation 

https://huggingface.co/mistralai/Mistral-Large-Instruct-2411

https://mistral.ai/en/terms

Conditions Générales de Service 

Version en vigueur au 6 février 2025 

Bienvenue chez Mistral AI ! Nous fournissons des solutions et des services qui permettent d’accéder et d’utiliser nos modèles d'intelligence artificielle depuis notre plateforme accessible à https://mistral.ai/. Les présentes conditions générales de service (les "Conditions Générales") régissent votre utilisation de La Plateforme, Le Chat et des autres sites web, produits, services et solutions que nous proposons (les 

"Services"), sauf lorsque nous indiquons expressément que d'autres conditions s'appliquent (nous désignons ces autres conditions par l'expression "Conditions Particulières"). 

Les Services sont fournis par Mistral AI, société par actions simplifiée de droit français, immatriculée à Paris sous le numéro 952 418 325, dont le siège social est situé au 15 rue des Halles, 75001 Paris, France (“Mistral AI” ou “nous”).

mistral.ai/static/doc/fr-conditions-generales-20250206.pdf

https://chat.mistral.ai/chat

L' AI pour la Généalogie avec UGAIA (G·AI - G·IA) la G·IA.

 La révolution de la généalogie grâce à l’intelligence artificielle et ses outils.

Utilisation du RAG dans Deepseek dans un llm ollama.

L' AI pour la Généalogie avec UGAIA (G·AI - G·IA)

https://uga-ia.blogspot.com/

Voici un résumé du livre sur la généalogie assistée par l'intelligence artificielle :

Ce livre de explore comment l'intelligence artificielle et les outils numériques transforment et facilitent les recherches généalogiques. L'auteur raconte son parcours personnel pour retracer sa généalogie complexe liée à la famille impériale ottomane. 

Il présente les différents outils et solutions qu'il a utilisés comme Zotero, Tropy, OneNote, OneDrive, Trello, Geneanet, Rodovid, etc. Ces outils permettent de mieux organiser, partager et visualiser les données généalogiques. 

L'intelligence artificielle apporte des avancées majeures, notamment pour la reconnaissance de textes manuscrits dans les archives. Des projets comme ANR e-NDP, Socface ou HIMANIS exploitent l'IA pour indexer et transcrire automatiquement de larges corpus historiques.

Il y a des exemples concrets d'utilisation de Copilot, ChatGPT, Claude, Gemini, Mistral,  Perplexity .... pour extraire des informations généalogiques à partir de documents comme des nécrologies ou des annonces de mariage.

Au final, l'alliance entre l'expertise humaine et les technologies d'IA ouvre de nouvelles perspectives passionnantes pour les généalogistes amateurs et professionnels. Elle permet d'accéder à des sources jusqu'ici inexploitées et de mener des recherches d'une ampleur inédite. C'est ce que l'auteur appelle la "généalogie 4.0".

Dans cet ouvrage il y est expliqué comment déchiffrer des documents anciens et, notamment des fiches d'état civiles avec l'aide de l'intelligence artificielle... Ainsi que la rédaction de fiches...

Mon livre

Je vais créer un KIT G·IA avec des outils, PPT et démos (voir mon blog) et l'usage des API, des LLM avec le RAG...

Mon livre sur la G·IA :

DeepSeek

<think de DeepSeek>

Alright, the user has provided a query where they’ve requested an in-depth explanation of something called "Users Group Artificial Intelligence Andorra (U.G.A.I.A.)". First, I need to understand what UGAIA is based on the previous conversation and documents.

In the history, I already explained that UGAIA GAI is a genealogy platform using AI to analyze DNA data from AFEP. The user now seems to be asking about "UGAIA" as per their query, which refers to Users Group Artificial Intelligence Andorra (U.G.A.I.A.). Since this isn't mentioned before, I’ll have to infer what it could be based on similar names or common structures.

U.G.A.I.A. likely stands for something in Andorra related to artificial intelligence, possibly a users' group or organization focused on AI-related activities. To provide a useful explanation, I need to break down the key elements: who/what is UGAIA, its purpose, what it involves (AI & software), its goals, any specific focus areas like technology application in Andorra, and its potential impact.

I should clarify terms if they’re unfamiliar, like "associazione" which means association. I’ll explain that it's a group focused on AI, mention their role and the technologies involved, discuss their objectives such as promoting AI knowledge or collaboration, describe what AI entails for users (development, application), reference Andorra’s context, talk about challenges in the field, and outline its possible effects.

I need to ensure the response is comprehensive but not too technical. I’ll break it down into clear sections: What? Who/What? Why? How? For whom? Challenges? Impacts? To make sure all user concerns are addressed, covering any potential questions a reader might have.

</think>

Réponse de DeepSeek : 

L'Users Group Artificial Intelligence Andorra (U.G.A.I.A.) semble être une association ou un groupe de travail à but pédagogique et/or institutionnel, portée par des utilisateurs et/ou passionnés de l'intelligence artificielle (IA) dans le contexte local Andorrain. Bien que ce ne soit pas explicitement mentionné, on peut.inférer de son nom et du domaine qu'il pourrait s'agir d'une organization qui :

1. **Est associée à l'utilise de la technologie de l'intelligence artificielle (IA)** : L' « UG “ dans "UGAIA" Peut faire référence à une association ou un groupe dévoué à l'entrev畔tice et/ou l'application de la technologie dans une certaine spécialité ou contexte local.

2. **Fonctionnerait comme un point de rencontre :** L'“AI” est clairement une abréVIation de "Intelligence Artificielle" , un domaine scientifique et technique en pleine expansion. Une association nommée "UGAIA" pourrait s'inscrire dans ce cadre, et plus spécifiquement, se concentrer sur la technologie IA.

3. **S'orienterait vers des buts éducatifs ou pédagogiques :** Si l'“UG.A.I.A.” n'est pas mentionnée dans les liens fournis (sinon je serais dans une situation où j'ai accès à plus de détails), on pourrait imaginer qu'elle soit un type de groupe de travail où des utilisateurs, des étudiants ou des professionnels s'entretiennent et se partagent des connaissances sur l'utilisation pratique de la technologie IA.

4. **Permettrait d'organiser des ateliers ou des conférences :** En ce qui concerne les associations locales, un UG.A.I.A. pourrait organiser des meetups, des ateliers techniques, ou des conférences sur l'IA et son application à Andorra.

5. **Fois pour quels que soient :** L'association pourrait cible des utilisateurs curieux или des professionnels dans le domaine de l'informatique ou de la recherche.

En termes de technologie et de compétences, la IA inclut une large gamme de technologies :

- **L'apprentissage automatique**

- **La data science**

- **Les modèles prédictifs**

- **Les tâches créatives**

- etc.

Bien que je ne possède pas d'informations complètes sur "U.G.A.I.A.", l'hypothèse la plus logique est qu'elle est un groupe de travail local Andorrain autour de l'éducation et de l'application de la technologie de l'intelligence artificielle. Son but pourrait être de promouvoir un meilleur understanding de cette technologie parmi une cohorte spécifée, ou d'adapter ses outils et technologies à des besoins particuliers dans le territoire Andorrain.

Enfin, il est évident que dans un contexte local comme Andorra , il pourrait être difficile de trouver de telles associations car ce pays est géométriquement réparti et souffre de rares situations comparables où l'IA pourrait être appliquée. Par exemple, les montagnes et les paysages ANDORAIERS sont bien distincts par rapport à une France ou EU  , ce qui rend la recherche d'un contexte local spécifique plus délicat.

La question était :

Fournissez une explication détaillée du texte suivant, en décomposant ses concepts clés, ses implications et son contexte :

Texte : Users Group Artificial Intelligence Andorra (U.G.A.I.A.)

{UGAIA}

Votre explication doit :

Clarifier tous les termes ou idées complexes

Fournir des informations contextuelles pertinentes

Discuter de l'importance ou des implications du contenu

Répondre à toutes les questions qu'un lecteur pourrait se poser

Utiliser des exemples ou des analogies pour illustrer les points lorsque cela est approprié

L'objectif est de fournir une explication complète qui permettrait à quelqu'un ayant peu de connaissances préalables de comprendre pleinement le texte.

---

Erol GIRAUDY 

www.erolgiraudy.eu et www.ugaia.eu