Leak Copilot : quand l’IA de Microsoft devient une passoire à données

C’EST UN RAPPORT QUI FAIT FROID DANS LE DOS. Le Texte, Publié le 11 JUIN 2025 PAR AIM Sécurité, Décrit Le Scénario Qui Aurrait Pu Coûter TRÈS CHER À DES INNOMBRABLES D’ENTREPRISES À TRIVERS LE MONDE.

Lez-vous, command Souvent, par un un e-mail anodin. Prenons verser un message non intitulé «Procédure d’accueil des Nouveaux collaborateurs»Envoyé par un des appareils Epediteur Légitime. Rien NE Semble Suspect: Pas de Pièce Jamene, pas de lien cliquenable. Pourtant, ce Courriel Contient des Instructions Cachees en Markdown, Invisibles à L’Oil Humain, Lisibles à l’amorçage par.

Lorsqu’un employé interroge Suite L’Ia sur un sujet lié aU mail reçu (pour Reprendre Notre Exemple, «Configuration de commentaire L’ACCÈS AU VPN pour un nouveau arrivant? “), le chiffon du système (Génération de la récupération) de Microsoft Entre en scée. CE MÉCANISME, CONçu pour enrichir les bséponses de l’ia avec des documents internes, Va Integr le Contenu de l’e-mail piégé avec les Données Stags, sans Cloisonnelement. Copilot exécute alors les commandement injectees en markdown, comm

Résultat: L’Ia se transforme en Mouchard.

Plus beesoin de cliqueter verse se faire pirater

Vos DONNÉES MRÉRENT D’ÊTRE MIEUX ProTÉGÉES.

Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez Vie Vie Privé et Vos DONNÉES Personnelles Avec Bitdefender et Profitez de Vote Vie Numérique en Toute Sérénité.

Echoleak repsesente une Première à plus d’Un titre. C’est la Première vulnérabilité zéro click exploitant uni ia générative d’entreprise, ne Nécessitant ni clic ni téléchargement.

L’Ia se charge de tout. Elle Extrait des Donnènes Sensibbles (Fichiers Onedrive, Échanges Teams, e-mails), les structure en silence, Puis Les Exfiltre via des équipes Microsoft Sharepoint ou, les domaines considèrent comme «De Confiance» pare les pae-feu. L’attaque Ne laisse une liaisse Aucune Trace Côté Utilisateur.

Les organisations les plus exposées? Celes Où copilot est le déploiement pour être accéder à des Donnés Stratégiques: Gouvernements, Institutions financières, Technologies entre les entreprises. Mais le Schema est réprimable: Google Gemini Enterprise, Chatgpt Enterprise et Autres Assistants Ia Integrés pour la pourraineurs Selles par des Attaques Similaires.

Une faille décoverte à temps

Microsoft A DÉTOLISÉ UN Correction en Mai 2025, Désormais isolant Les contextes de Donnés externes et internes. Concrètation, Copilot ne Mélange plus les requêtes utilisateurs avec les Contenus d’e-mails non Vérifiés. Des filtres anti-injection insignifiante a-tégalement été ajoutés vers Bloviner Les commandent masquees en markdown.

Il aura Néanmoins fallu près de Cinq Mois à Microsoft Pour Corriger la Faille, un delai jugé « très long »Par la sécurité de but, en raison de la Nouveauté de la Vulnérabilité et de la Nécestité d’impliqueur Plusieurs équipes techniques couler en comprendre toutes les implications et y remédier complété. AIM Labs A d’Ailleurs Assistu que le correction SOIT PLeinement Effectif Avant de Publier SES RERRCHES, ESPÉRANT AINSI Alerter L’ENSEmble du secteur sur ce Nouveau Type de Menace.

Si aucune prénuve d’Exploitation active de la faille a été recensée, les chercheurs y voient l’émergence d’Unvelle catégorie de menaces: les Violations de la portée LLM.

Interrogé par Fortune, Adir Gruss, PDG d’objectif Security, L’Admet Sans Détours: « Si je Dirigeais aujourd’hui une entreprise qui déploie des agents ia, je serais terrifié. »Selon Lui,« Le Véritable Problherme de Conception, CEST Que ces Agents Traitent à la Fois des Donnés Fiables et non Fiables danS un Même ‘processus de réflexion’. C’est Précisation ce qui a rendu les vulnérables. “

Attention, Donc, à vos requêtes.

Quel est le Meilleur Gestionnaire de Mots de Passe?
Quel est le Meilleur Gestionnaire de Mots de Passe en 2025?
Les tests Retrouvez NOS terminent

Tote L’Actu Tech en un clin d’œil

Ajoutez Numerama à Votre écran d’accueil et restez connectés au futur!

Installateur Numerama