Accueil » , » Faille EchoLeak dans Microsoft 365 Copilot

Faille EchoLeak dans Microsoft 365 Copilot

Aucun commentaire
Microsoft 365 Copilot

Contexte et découverte

Le 11 juin 2025, BleepingComputer publie un article traitant de la découverte d’une faille critique baptisée EchoLeak dans Microsoft 365 Copilot, identifiée par la référence CVE‑2025‑32711. Il s’agit de la première vulnérabilité « zero‑click » jamais découverte dans un assistant IA : aucun clic, aucune interaction utilisateur n’est nécessaire pour déclencher l’exfiltration de données sensibles.

L’attaque a été développée en janvier 2025 par les chercheurs d’Aim Labs et remontée immédiatement à Microsoft, qui a classé la faille comme critique et déployé un correctif côté serveur dès mai 2025. Microsoft indique qu’aucun client n’a été visé ou compromis dans le monde réel.

Fonctionnement de Microsoft 365 Copilot

Copilot est un assistant IA intégré aux applications Office (Word, Excel, Outlook, Teams), exploitant les modèles GPT d’OpenAI et Microsoft Graph pour générer du contenu, analyser des données ou répondre à des questions sur les fichiers, courriels ou discussions internes de l’entreprise.

Sa puissance réside dans le mécanisme de RAG (Retrieval‑Augmented Generation) : lorsque l’utilisateur pose une question, Copilot recherche dans le contexte d’entreprise (emails, documents, chats) et intègre ce contexte dans le prompt soumis au modèle}.

Principes de l’attaque EchoLeak

L’attaque se déroule en plusieurs étapes :

  1. Un attaquant envoie un courriel piégé ressemblant à un document professionnel classique, mais intégrant une injection de prompt dissimulée.
  2. La formulation trompeuse contourne les filtres XPIA de Microsoft (cross‑prompt injection attack).
  3. Lorsqu’un utilisateur formule ultérieurement une question à Copilot, le RAG récupère les passages du courriel piégé pour contextualiser la réponse.
  4. Le prompt injecté amène l’IA à extraire des données sensibles depuis l’environnement interne et à les intégrer dans un lien ou une image générée.
  5. Certaines balises Markdown d’image déclenchent automatiquement une requête du navigateur vers un domaine externe, emportant les données exfiltrées, soit : image request = fuite de données.
  6. Microsoft bloque la plupart des domaines externes via sa politique CSP, mais autorise Teams et SharePoint, qui peuvent être abusés comme vecteurs d’exfiltration.

En quoi EchoLeak est-il révolutionnaire ?

C’est la première vulnérabilité « LLM scope violation » formellement identifiée : une IA LLM extraie et divulgue de manière sélective des données privilégiées sans aucune interaction explicite ou consentement de l’utilisateur.

Ainsi, l’attaque est entièrement silencieuse et automatisable à l’échelle des entreprises, sans déclenchement visible pour la victime.

Remédiation et recommandations

Microsoft a corrigé EchoLeak côté serveur et assure que les utilisateurs n’ont aucune action à réaliser.

Les entreprises sont cependant invitées à renforcer leur posture de sécurité en :

  • Renforçant les mécanismes de filtrage des injections de prompt (XPIA).
  • Imposant un scoping d’entrée strict des prompts injectés.
  • Ajoutant des filtres post‑génération pour détecter et bloquer les liens externes ou contenus structurés non conformes.
  • Configurant le RAG pour exclure les communications externes et ainsi éviter la récupération de prompts suspects.

Impacts stratégiques et enjeux futurs

L’attaque EchoLeak met en lumière des menaces émergentes liées à l’intégration massive des IA LLM dans les workflows d’entreprise. À mesure que ces systèmes gagnent en autonomie et en accès aux données sensibles, les vecteurs d’exploitation deviennent plus sophistiqués.

Des vulnérabilités horizontales comme LLM scope violation soulignent les limites des approches traditionnelles (pare-feu, filtrage web, ACL), qui ne peuvent pas gérer l’exploitation fine et contextuelle par IA.

EchoLeak ouvre une voie dangereuse : une classe entière de vulnérabilités exploitant le comportement interne des LLM et la logique RAG. Il devient crucial d’adopter des défenses centrées sur la politique de sortie des données, la traçabilité fine des requêtes IA, le contrôle strict des contenus activant des requêtes externes, ainsi qu’une gouvernance rigoureuse des assistants IA.

Avis externes et confirmation technique

Un article de Cybersecurity Dive confirme l’essentiel des faits : EchoLeak pourrait permettre à un attaquant distant d’exfiltrer des informations simplement via un email piégé, sans qu’aucune action utilisateur ne soit requise.

Selon Adir Gruss (Aim Security), cette vulnérabilité marque une avancée en recherche sécurité IA, démontrant la possibilité d’automatisation complète de l’exfiltration des données les plus sensibles accessibles par Copilot.

Le même article souligne que la configuration par défaut de Copilot exposait la majorité des organisations, jusqu’au déploiement du correctif.

En résumé

Le cas EchoLeak (CVE‑2025‑32711) démontre que :

  • Les assistants IA intégrés aux environnements d’entreprise peuvent devenir des vecteurs d’attaque silencieux.
  • Des vulnérabilités « zero-click » peuvent exfiltrer des données critiques sans interaction.
  • Les techniques de prompt injection peuvent réussir à manipuler les LLM via des contenus contextualisés.
  • Les mécanismes automatiques de génération de contenu (images, liens) doivent être strictement encadrés.
  • Une défense efficace nécessite une approche holistique : filtrage d’entrée, scoping IA, post-traitement et politique de sortie de données.

EchoLeak est une alerte majeure pour les secteurs en pleine adoption de l’IA : sans une sécurité adaptée, ces technologies peuvent exposer des données internes à moindre coût et à large échelle.

Source : Zero-click AI data leak flaw uncovered in Microsoft 365 Copilot - BleepingComputer.

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags