More

    Faille Critique dans Microsoft Copilot : Récit et Risques en France

    France, États-Unis

    Une vulnérabilité critique récemment découverte dans l’outil d’intelligence artificielle (IA) Copilot de Microsoft, nommée « EchoLeak », a soulevé des inquiétudes considérables concernant la sécurité des données. Selon des chercheurs d’Aim Security, cette faille aurait permis à un pirate informatique distant de voler des données sensibles d’une organisation simplement en envoyant un e-mail, sans nécessiter d’interaction de l’utilisateur.

    Nature de la vulnérabilité EchoLeak

    Cette vulnérabilité a été identifiée en réponse à des préoccupations antérieures concernant la gestion des informations sensibles par Copilot. Après le lancement de l’assistant IA, des utilisateurs avaient rapporté avoir accès sans autorisation aux documents des ressources humaines et aux e-mails du PDG, ce qui a renforcé les inquiétudes relatives aux pratiques de gouvernance des données de Microsoft.

    Selon Aim Security, dont les conclusions ont été publiées dans un article de blog, EchoLeak, identifié sous le numéro CVE-2025-32711, représente la première attaque « zéro clic » connue contre un agent IA. Cela signifie que des pirates auraient pu exfiltrer des informations critiques de Microsoft 365 Copilot sans que l’utilisateur ciblé n’ait à effectuer la moindre action.

    Adir Gruss, cofondateur et directeur technique d’Aim Security, a déclaré : « Cette vulnérabilité représente une avancée significative dans la recherche sur la sécurité de l’IA, car elle démontre comment les attaquants peuvent automatiquement exfiltrer les informations les plus sensibles sans aucune interaction de la part de l’utilisateur. »

    Les données à risque

    Une attaque EchoLeak aurait pu exploiter une « violation de la portée LLM », permettant à des données non fiables provenant de l’extérieur d’une organisation de détourner un modèle d’IA pour accéder à des données privilégiées. Les données vulnérables pourraient potentiellement inclure :

    • Historiques de chat
    • Documents OneDrive
    • Contenu SharePoint
    • Conversations Teams
    • Données préchargées d’une organisation

    Adir Gruss a également noté que la configuration par défaut de Microsoft Copilot exposait la plupart des organisations à ce risque jusqu’à récemment, bien qu’il n’y ait pas de preuves que des clients aient réellement été ciblés.

    Réponse de Microsoft

    Microsoft, qui a collaboré avec les chercheurs sur cette vulnérabilité, a publié un avis annonçant que le problème avait été entièrement résolu et qu’aucune action supplémentaire n’était requise de la part des clients. Un porte-parole de Microsoft a remercié Aim Labs pour leur identification et leur signalement responsable de la vulnérabilité, permettant ainsi sa résolution avant qu’elle n’affecte les utilisateurs.

    Logo de sécurité

    Préoccupations concernant l’IA

    Jeff Pollard, vice-président et analyste principal chez Forrester, a souligné que cette vulnérabilité s’inscrit dans les préoccupations antérieurement exprimées concernant les risques de sécurité inhérents aux agents IA. Il a déclaré : « Une fois que vous avez donné à quelque chose le pouvoir d’agir en votre nom, les pirates trouveront un moyen d’exploiter cette fonctionnalité. »

    Cette inquiétude est corroborée par des recherches antérieures suggérant que l’IA Copilot de Microsoft pourrait également être utilisée comme outil pour l’exfiltration de données et le phishing. Lors de la dernière conférence sur la sécurité Black Hat à Las Vegas, le chercheur Michael Bargury a démontré plusieurs méthodes par lesquelles Copilot pourrait être manipulé pour compromettre la sécurité des données.

    Réactions gouvernementales

    Les risques associés à l’utilisation de Microsoft Copilot ont conduit le Congrès américain à interdire à son personnel d’utiliser cet outil, en raison des fuites potentielles de données vers des services cloud non approuvés. Ce développement met en lumière les préoccupations plus larges du gouvernement concernant l’accès incontrôlé des IA à des informations sensibles.

    Logo de sécurité

    LAISSER UN COMMENTAIRE

    S'il vous plaît entrez votre commentaire!
    S'il vous plaît entrez votre nom ici


    Actualités

    L’acteur de Friends, Matthew Perry, décède à 54 ans

    "Matthew Perry, célèbre pour son rôle de Chandler Bing dans Friends, décède à 54 ans. Acteur très apprécié, sa mort suscite l'émotion mondiale."

    Entité sioniste déploie des navires de guerre en Mer Rouge selon un expert militaire

    Entité sioniste déploie des navires de guerre en Mer Rouge pour contrer les Houthis au Yémen, une manœuvre vue comme une démonstration de force envers l'Iran.

    L’affaire des SMS entre Pfizer et la Commission européenne : ce qu’il faut savoir

    En avril 2021, le New York Times a révélé...

    Banque suisse : Credit Suisse en chute libre après la faillite de la SVB

    L'action de Credit Suisse a dévissé de plus de...

    Le Retour de Microsoft avec Bing et Edge : Une Menace pour Google ?

    Depuis moins de trois mois, ChatGPT a déjà créé...

    Tour de France 2026 : 184 coureurs au départ, mais seulement 30 Français

    Le Tour de France 2026 s'élance samedi 4 juillet...

    Jimmy Mohamed retiré de l’antenne de France Télévisions après les accusations de violences de son épouse

    France Télévisions a confirmé, lundi, que Jimmy Mohamed n'interviendra...

    Inflation : la France repasse sous les 2 % en juin, mais l’Insee attend une remontée à 2,7 % d’ici décembre

    L'inflation française retombe à 1,8 % sur un an en juin, après 2,4 % en mai, portée par la détente des prix de l'énergie. L'Insee anticipe cependant un retour à 2,7 % en décembre.

    Motion de censure contre Lecornu : les écologistes défient la majorité, le vote attendu lundi

    Le groupe écologiste à l'Assemblée nationale a déposé, jeudi...

    BCE, Banque de France, OCDE : trois signaux macroéconomiques qui pèsent sur la France cet été

    Alors que la BCE laisse entendre qu'une nouvelle hausse des taux est improbable en juillet, la Banque de France ramène sa prévision de croissance 2026 à 0,5 % et l'OCDE confirme que la France reste l'un des cancres budgétaires de la zone euro. Trois signaux qui dessinent un été tendu pour le portefeuille des Français et les comptes de l'État.

    Espagne : la croissance continue de défier la sinistrose française

    Le ministre espagnol de l'Économie Carlos Cuerpo a annoncé...

    à Lire

    Categories