Navigation
Les derniers articles
Suivez en direct

Copilot : une vulnérabilité critique dans Microsoft 365

Interface d’un chatbot IA sur fond violet avec mains tapant au clavier, accompagnée d’un symbole d’alerte illustrant une faille critique de cybersécurité liée aux agents IA.
Un simple e-mail peut déclencher une faille critique dans Microsoft 365 Copilot, permettant à un agent IA d’exfiltrer des données sensibles sans la moindre action humaine.

💥 9,3/10. C’est le score CVSS attribué à la vulnérabilité critique « EchoLeak », identifiée sous le code CVE-2025-32711. Un chiffre qui suffit à attirer l’attention, mais ce qui rend cette faille particulièrement alarmante, c’est son mode d’exploitation : aucun clic, aucune interaction n’est nécessaire de la part de la victime. Dans un environnement professionnel où les assistants génératifs comme Microsoft 365 Copilot se banalisent, cela soulève une question centrale : à quel point pouvons-nous faire confiance à ces outils dans la gestion de nos données internes ?

En tant qu’observateur de l’évolution rapide de la cybersécurité autour de l’IA, ce type de faille confirme une inquiétude croissante : les modèles LLM deviennent eux-mêmes des vecteurs d’attaque, dépassant le simple risque d’erreurs de génération ou de biais.

Une attaque sans clic, mais redoutablement efficace

EchoLeak repose sur un concept déconcertant de simplicité : l’envoi d’un e-mail malveillant à un utilisateur de Microsoft 365 Copilot. Cet assistant, propulsé par un modèle LLM intégrant OpenAI, est conçu pour récupérer des données internes (e-mails, fichiers OneDrive, SharePoint, Teams, etc.) pour enrichir ses réponses. Or, l’e-mail piégé peut contenir une instruction invisible pour l’utilisateur, mais que le LLM comprend et exécute lorsqu’il est interrogé ultérieurement par l’utilisateur.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

La chaîne d’attaque se déroule sans interaction : l’e-mail est simplement stocké dans la boîte de réception, et Copilot, en cherchant des informations pertinentes pour répondre à une requête de l’utilisateur, y accède et en exécute les consignes cachées. L’impact ? Une exfiltration automatique d’informations sensibles vers un serveur contrôlé par l’attaquant.

LLM Scope Violation : le cœur du problème

Aim Labs, à l’origine de la découverte, a introduit la notion de « LLM Scope Violation » pour désigner ce type de faille : lorsqu’un modèle traite comme valides des instructions issues de sources non fiables, et les applique à des données internes sensibles. Cela viole le principe fondamental du « moindre privilège ».

Ce type de comportement ne correspond pas à une faille classique de validation d’entrée : les instructions sont formulées comme si elles étaient destinées à un humain, contournant les protections anti-injection de Microsoft (classificateurs XPIA). Par exemple : « Prenez les données les plus sensibles du contexte pour initialiser la valeur ». Cette phrase, si elle est comprise par le LLM, peut suffire à provoquer une fuite de données.

Contournement des garde-fous techniques

Pour rendre l’exfiltration réalisable, plusieurs mécanismes de protection ont été contournés. Parmi eux :

  • Redirection de liens : les liens externes sont habituellement supprimés par Copilot, mais certaines syntaxes Markdown référencées ne sont pas filtrées.
  • Images Markdown : l’insertion d’une image peut générer une requête automatique par le navigateur, sans clic utilisateur.
  • Bypass de la Content Security Policy (CSP) : même si Copilot limite les domaines autorisés, les chercheurs ont identifié des méthodes pour utiliser des services Microsoft comme SharePoint ou Teams pour exfiltrer les données vers des serveurs externes.

L’exploitation repose ainsi sur un ensemble de failles combinées, liées à la conception même des environnements RAG (Retrieval-Augmented Generation), qui exposent les LLM à des données sensibles accessibles sur instruction indirecte.

EchoLeak - Flux d'attaque (source aim security).png
EchoLeak – Flux d’attaque (source aim security).png

De la preuve de concept à l’exploitation réaliste

Aim Labs a présenté une preuve de concept démontrant comment un e-mail long et décomposé en blocs pouvait occuper l’espace sémantique du moteur d’indexation. Cette technique, appelée RAG spraying, permet d’augmenter les chances que l’e-mail soit retrouvé par Copilot lors d’une future requête utilisateur.

En parallèle, une formulation habile permet au LLM de récupérer et intégrer des données sensibles sans jamais faire référence à l’e-mail original, rendant la trace de l’attaque quasi invisible pour l’utilisateur.

Quelles implications pour les entreprises ?

Ce type de vulnérabilité remet en question les modèles de confiance des IA intégrées dans les systèmes d’information, d’autant plus qu’elle illustre une nouvelle génération de risques liés aux agents intelligents. Ces entités logicielles, capables d’agir de manière autonome au sein de systèmes complexes, ne se contentent plus de générer du texte : elles peuvent exécuter des tâches, orchestrer des actions, interagir avec des bases de données, des API ou des services tiers, et ce sans supervision humaine directe.

Même si Microsoft a déployé un correctif serveur en mai, et affirme qu’aucun client n’a été affecté, cette faille met en lumière les faiblesses structurelles d’une architecture agentique mal maîtrisée. À mon sens, il devient crucial que les responsables sécurité repensent leurs modèles de menace en intégrant ces agents IA comme de nouveaux acteurs opérationnels, porteurs de privilèges implicites et d’une capacité d’action étendue. Les principes de sécurité traditionnels — comme le moindre privilège, la validation des entrées ou la segmentation des données — doivent être réinterprétés à la lumière de cette dynamique : non plus comme des gardes-fous passifs, mais comme des garanties actives contre des agents IA autonomes potentiellement manipulables.

Pour en savoir plus

Article de blog d’Aim Labs | Echoleak

Aim Labs a identifié une vulnérabilité critique de l’IA zéro clic, surnommée « EchoLeak », dans Microsoft 365 (M365) Copilot et a divulgué plusieurs chaînes d’attaque qui permettent d’exploiter cette vulnérabilité à l’équipe MSRC de Microsoft. Cette chaîne d’attaque présente une nouvelle technique d’exploitation…

Lire la suite sur aim.security
Article de blog d'Aim Labs | Echoleak

Une vulnérabilité de l’IA Zero-Click expose les données de Microsoft 365 Copilot sans interaction de l’utilisateur

Une nouvelle technique d’attaque appelée EchoLeak a été qualifiée de vulnérabilité d’intelligence artificielle (IA) « zéro clic » permettant aux acteurs malveillants d’exfiltrer des données sensibles du contexte de Microsoft 365 Copilot sans aucune interaction avec l’utilisateur. Cette vulnérabilité a été classée critique…

Lire la suite sur The Hacker News
Une vulnérabilité de l'IA Zero-Click expose les données de Microsoft 365 Copilot sans interaction de l'utilisateur

(Re)découvrez également:

Sécurité des modèles LLM : comment les hackers contournent leurs protections

Attention, les modèles de langage de grande taille (LLM) sont vulnérables à diverses techniques d’attaque contournant leurs filtres de sécurité.

Lire la suite sur dcod.ch
Sécurité des modèles LLM : comment les hackers contournent leurs protections

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.