Actualités Informatique

Copilot : Microsoft victime d’une première faille de sécurité

Par Jean-Luc Pircard , le juin 20, 2025 - 4 minutes de lecture
AccueilActualités InformatiqueCopilot : Microsoft victime d’une première faille de sécurité
découvrez comment microsoft fait face à une première faille de sécurité concernant son outil copilot. explorez les implications de cette vulnérabilité et les mesures prises pour protéger les utilisateurs.
Notez-moi

Une faille critique baptisée EchoLeak a été découverte dans Microsoft 365 Copilot, permettant l’exfiltration de données sensibles sans aucune interaction de l’utilisateur. Classée CVE-2025-32711 avec un score CVSS de 9.3, cette vulnérabilité zero-click exploitait les mécanismes internes des modèles de langage génératifs. Les chercheurs d’Aim Security ont démontré comment un simple email malveillant pouvait contourner toutes les protections pour siphonner des documents Outlook, OneDrive et SharePoint.

EchoLeak : quand l’IA devient un vecteur d’attaque

Les assistants IA comme Copilot reposent sur une architecture RAG (Retrieval-Augmented Generation) qui interroge des bases de données internes pour fournir des réponses contextuelles. C’est précisément ce mécanisme qu’EchoLeak a exploité. Contrairement aux attaques traditionnelles visant les pare-feux ou les mots de passe, cette faille s’attaque à la logique même du modèle linguistique.

Les implications sont graves :

  • Pas besoin de cliquer sur un lien ou d’ouvrir une pièce jointe
  • Exfiltration possible de données marquées comme confidentielles
  • Contournement des politiques DLP (Data Loss Prevention)
  • Exploitation via des plateformes Microsoft légitimes comme SharePoint

Microsoft a réagi rapidement avec un correctif serveur en juin 2025, mais l’épisode rappelle que les technologies génératives introduisent de nouveaux risques en cybersécurité.

Le mécanisme d’exploitation en quatre étapes

L’équipe d’Aim Security a documenté une attaque en chaîne particulièrement sophistiquée. Voici comment des pirates pouvaient siphonner des données sans éveiller les soupçons :

1. Injection de prompt camouflée

Un email apparemment anodin contenait des instructions cachées pour Copilot, soigneusement formulées pour éviter les détections XPIA (Cross-Prompt Injection Attacks). Aucun terme comme « IA » ou « commande » n’était utilisé, ce qui trompait les filtres de sécurité.

2. Génération de liens malveillants

Copilot était manipulé pour créer des liens Markdown référençant des domaines externes. Ces liens échappaient aux contrôles de sécurité car le modèle ne les identifiait pas comme menaçants.

3. Contournement des protections d’images

Plutôt que de compter sur un clic utilisateur, l’attaque forçait le chargement automatique d’images Markdown. La particularité? Ces images pointaient vers des serveurs contrôlés par les attaquants.

4. Exploitation des whitelists Microsoft

Le coup de génie : utiliser SharePoint comme relais. Comme cette plateforme était autorisée dans les politiques CSP (Content Security Policy), les données volées transitaient via une infrastructure légitime.

Les leçons à retenir pour les administrateurs

Cette faille démontre que les services numériques modernes nécessitent une approche révisée de la sécurité. Plusieurs mesures s’imposent :

  • Auditer les permissions des comptes SharePoint
  • Restreindre Copilot aux seuls échanges internes
  • Mettre à jour les politiques DLP pour inclure les sorties IA
  • Surveiller les requêtes API inhabituelles vers les LLM

Microsoft recommande désormais de désactiver le traitement des emails externes par Copilot dans les environnements sensibles. Une précaution élémentaire, mais qui aurait pu éviter bien des soucis.

L’avenir des assistants IA en entreprise

EchoLeak marque un tournant dans la sécurité informatique des outils génératifs. Les entreprises doivent maintenant considérer que :

  • Les LLM introduisent de nouveaux vecteurs d’attaque
  • Les politiques de sécurité classiques sont insuffisantes
  • La formation des utilisateurs ne suffit pas contre les zero-click
  • L’audit des modèles IA doit devenir systématique

Les éditeurs devront probablement développer des solutions dédiées pour sécuriser ces nouvelles interfaces homme-machine. En attendant, le principe de moindre privilège reste la meilleure parade.

Microsoft face aux défis de l’IA sécurisée

L’épisode EchoLeak montre les limites du développement rapide des fonctionnalités IA. Microsoft a réagi correctement, mais des questions persistent :

  • Pourquoi les tests de sécurité n’ont-ils pas détecté cette faille?
  • Comment améliorer la résilience des modèles aux injections?
  • Faut-il isoler les LLM des données critiques?

Une chose est sûre : l’ère des assistants IA impose une nouvelle approche de la cybersécurité, où chaque interaction doit être considérée comme potentiellement hostile. Les vieilles recettes ne suffiront plus.

  • Ortovox Détecteur de victimes d'avalanche Diract Voice bleu
    ORTOVOX innove : le DIRACT VOICE est le premier DVA au monde avec navigation vocale intégrée et vous amène rapidement et en toute sécurité aux camarades ensevelis en cas d'urgence. Points forts : Parle : Navigation par des commandes vocales claires Soutient : Utilisation extrêmement simple pour des secondes vitales Protège : Technologie d'antenne intelligente pour être trouvé plus rapidement Détails : Navigation vocale claire (DE, EN, FR, IT, ES, NOR, SV, CZ, NL) Nombre d'antennes : 3 Nombre de personnes ensevelies : 4 Batterie lithium-ion rechargeable Dimensions (en mm) : 79 x 120 x 23 Bluetooth Étanche (EN 300718) Poids/système de portage : 210 g/ 80 g Garantie : 5 ans avec enregistrement Fonction de marquage Largeur de bande de recherche : Max. 50 m Affichage stable dès la première réception Écran entièrement graphique 35 mm x 45 mm Affichage en temps réel à 360° Assistance visuelle et acoustique lors de la recherche de précision Contrôle de groupe Technologie Smart-Antenna (brevetée) Commutation automatique en cas de sur-avalanche Réflecteur Recco intégré Autotest permanent et mode veille Fabriqué en Allemagne Nom de la couleur : blue ocean La marque ORTOVOX est membre de la Wear Fair Foundation. Avertissements généraux : • Votre appareil ne vous protège pas des avalanches ! • Avant d'utiliser ce détecteur de victimes d'avalanches, vous devez lire et comprendre entièrement le mode d'emploi, vous familiariser avec le produit, connaître les possibilités et les restrictions d'utilisation, et comprendre et accepter les risques liés à son utilisation. • Le non-respect d'une seule instruction dans les manuels peut entraîner des blessures graves, voire la mort. • L'appareil ne doit pas être ouvert par l'acheteur ou par des tiers non autorisés. • Ne jamais stocker l'appareil en dehors des températures de stockage recommandées, comprises entre 0° C et +30° C. • Danger lié à la non-émission de l'appareil en mode veille. Le mode veille ne doit être utilisé qu'en cas de sauvetage comme alternative à l'arrêt de l'appareil, mais pas comme mode de fonctionnement standard en terrain avalancheux. • ORTOVOX n'assume aucune responsabilité pour les conséquences directes, indirectes et accidentelles, ainsi que pour toute autre forme de dommages résultant d'une utilisation inappropriée de ce produit. Ceci ne s'applique pas dans la mesure où une responsabilité est légalement obligatoire. • Sous réserve de modifications des manuels et du guide juridique. Les caractéristiques techniques et les spécifications du produit peuvent être modifiées sans préavis dans les versions futures de l'appareil et/ou les mises à jour logicielles de l'appareil. • Si une nouvelle version du logiciel a été installée sur votre appareil, vous devez immédiatement vous familiariser avec les manuels actuels sur www.ortovox.com. Avertissements concernant la batterie lithium-ion : • Cet appareil contient une batterie lithium-ion. Les points suivants doivent notamment être respectés :...
    390,00 €
    299,99 €
    -23%
  • Mammut Détecteur de victimes d'avalanche Barryvox 2 blanc
    Cet appareil de recherche de victimes d'avalanches compact convainc sur le terrain avalancheux par sa manipulation intuitive, une portée de 70 m et des fonctionnalités qui t'aident à effectuer des recherches avec une efficacité maximale. Pour augmenter ta propre sécurité en randonnée, le Barryvox 2 vérifie en permanence son bon fonctionnement grâce à un autotest. Pour plus de sécurité pendant le sauvetage, le DVA est équipé d'une fonction Rescue-SEND et d'une commutation automatique en mode émission. Grâce à l'application Mammut, tu peux effectuer des mises à jour, des configurations et des entraînements à la recherche d'avalanches et tu es ainsi prêt à prendre des décisions intelligentes encore plus rapidement en cas d'urgence. Détails : Rescue SEND est une fonction de protection pour les sauveteurs qui ne sont pas en train de chercher en cas de nouvelle avalanche, grâce à la commutation automatique sur SEND, afin que le sauveteur puisse être à nouveau localisé. Commutation automatique en mode émission : fonction de protection pour les sauveteurs qui recherchent avec un DVA en cas de nouvelle avalanche. Si le sauveteur ne bouge pas pendant quatre minutes, le DVA passe automatiquement de SEARCH à SEND grâce à un capteur de mouvement. Autotest automatique : ton Barryvox® vérifie ton signal d'émission et de recherche lors de la mise en marche et effectue régulièrement des tests d'émission et de batterie. Interference Guard : ton Barryvox® gère et réduit les interférences de signal et affiche les perturbations causées par les interférences en mode émission et recherche. Contrôle de groupe : vérifie rapidement et facilement la fréquence et l'intensité d'émission d'autres DVA grâce à cette fonction afin de garantir un fonctionnement correct. Guidage acoustique de l'utilisateur : une séquence de sons te guide dans la direction des personnes ensevelies et te permet de garder les yeux sur le champ d'avalanche pendant la recherche. Interface visuelle intuitive : guide intuitivement à travers toutes les phases de recherche et offre une vue d'ensemble en cas d'ensevelissements multiples. Auto-Select : en cas d'ensevelissement multiple, ton Barryvox® te guide d'abord vers le signal le plus fort. Fonction de marquage en cas d'ensevelissements multiples La fonction d'inversion empêche les erreurs de recherche à 180 degrés Mode d'ensevelissement profond : si un ensevelissement à grande profondeur est détecté, la recherche fine pour un guidage précis démarre automatiquement plus tôt (> 3 m).  Compatible avec l'application Barryvox pour les mises à jour du firmware, les paramètres de configuration, l'entraînement à la recherche avec le Barryvox®. Système de portage Barryvox (inclus) : port sûr et confortable du DVA sur le haut du corps. Nom de la couleur : White La marque MAMMUT est membre de la Fair Wear Foundation.
    510,00 €
    380,00 €
    -25%
  • Microsoft Windows Server 2022 Standard
    Windows Server 2022 Standard Windows Server 2022 est la version plus récente de Server 2019. Windows Server 2022 Standard vous offre quelques nouveautés en matière de sécurité, et de gestion. Avec le système d'exploitation serveur Windows Server 2022 Standard, les entreprises et les organisations peuvent partager des données, des services et des applications avec plusieurs utilisateurs. Gérez les autorisations, activez les ressources et déployez des paquets en quelques étapes seulement. En achetant Windows Server 2022 Standard, vous bénéficiez d'un système d'exploitation serveur puissant, riche en fonctionnalités et sécurisé, qui répond aux exigences les plus élevées. Par rapport à Windows Server 2022 Essentials, il n'y a pas de limite au nombre d'utilisateurs. Par conséquent, un nombre illimité d'utilisateurs peuvent utiliser les fonctions standard de Windows Server 2022 après avoir acheté une licence d'accès client (CAL). Sous une licence Microsoft Windows Server 2022 Standard, deux ordinateurs virtuels et un hôte Hyper-V peuvent être utilisés comme invités de virtualisation. Le système d'exploitation serveur d'avenir dispose de nombreuses améliorations et de fonctionnalités innovantes. Windows Server 2022 offre plusieurs nouvelles fonctions utiles par rapport aux versions précédentes. La révision du Windows Admin Center est particulièrement importante à cet égard. Cela facilite la publication de différentes fonctions de serveur et la gestion de machines virtuelles pour des utilisateurs individuels. Une autre fonction utile est la virtualisation imbriquée, qui est désormais disponible pour les processeurs AMD. Il est ainsi possible de créer des systèmes virtuels supplémentaires en plus des systèmes virtuels existants. Il en résulte différents niveaux de virtualisation. Le service de migration de stockage facilite désormais également le transfert de données d'autres systèmes vers des serveurs. Aperçu des nouveautés : - Application d'une protection multicouche avancée contre les menaces, ce qui est facilement réalisable avec le serveur Secured Core. - Connectivité sécurisée aux ressources critiques de l'entreprise avec une couche de sécurité supplémentaire pendant le transport, y compris le support activé par défaut pour HTTPS et TLS 1.3. - Gérer et contrôler le serveur Windows sur site avec Azure Arc. - Meilleure gestion des machines virtuelles avec le dernier Windows Admin Center. - Migrer les serveurs de fichiers d'On-Premises vers Azure avec le nouveau scénario pris en charge dans le Storage Migration Service. Configuration requise : Processeur : 1.4 GHz avec 64 bits MÉMOIRE VIVE : 512 MO Exigences en matière de mémoire : au moins 32 Go Autres exigences : Adaptateur Ethernet d'au moins 1 gigabit Système et micrologiciel basés sur UEFI 2.3.1c avec prise en charge du démarrage sécurisé Module de plate-forme de confiance Périphérique graphique et moniteur prenant en charge la résolution...
    69,90 €
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.