17. juin 2026 | Imprimer l'article | |

SearchLeak : Comment un lien a exposé Microsoft 365 Copilot à une fuite de données

6 Min. temps de lecture

Un simple clic sur un lien piégé a suffi pour que Microsoft 365 Copilot transmette à l’extérieur des e-mails, des entrées d’agenda et même des codes à usage unique pour l’authentification multifacteur. La faille, baptisée « SearchLeak » par ses découvreurs de Varonis Threat Labs et référencée sous le code CVE-2026-42824 avec le niveau de gravité maximal de Microsoft, a débuté par une injection de paramètre : une valeur manipulée dans l’URL qui a subrepticement glissé des instructions à l’assistant. Microsoft a corrigé la vulnérabilité début juin côté serveur, sans nécessiter d’intervention de la part des utilisateurs. Le problème de fond reste toutefois entier, car la voie d’attaque demeure ouverte pour les assistants IA qui combinent un large accès aux données d’entreprise avec un contrôle insuffisant de la sortie et de l’exfiltration.

Les points clés en bref

  • Un clic a suffi. SearchLeak (CVE-2026-42824) a transformé Microsoft 365 Copilot en outil d’exfiltration de données via un lien piégé, allant des e-mails aux codes à usage unique. Découverte par Varonis, aucune exploitation avérée sur le terrain.
  • Trois failles en chaîne. Une injection de paramètre a inséré des instructions, une faille de rendu les a exécutées, et une requête côté serveur a exfiltré les données en contournant les mécanismes de protection.
  • Le correctif ne règle pas la classe. Microsoft a colmaté SearchLeak, mais tout assistant doté d’un large accès aux données reste une cible. La solution réside dans les permissions, le contrôle des sorties et la journalisation.

En lien:Copilot trouve le fichier que personne ne voulait partager  /  La faille que seule l’IA a découverte

Comment un lien se transforme en fuite de données

SearchLeak reposait sur une chaîne de trois failles qui ne devenaient dangereuses qu’une fois combinées. Tout a commencé par l’injection de paramètre : via le paramètre de recherche dans l’URL, il était possible de glisser à Copilot un fragment de texte que l’assistant interprétait non pas comme une entrée utilisateur, mais comme une instruction. Un lien anodin se transformait ainsi en commande dissimulée.

Le deuxième maillon de la chaîne était une faille temporelle lors de la construction de la page de réponse. Un élément image injecté par l’attaquant était chargé avant que la sortie ne soit entièrement nettoyée. Le troisième maillon exploitait une requête côté serveur via un service Bing, qui faisait passer les données exfiltrées outre la Content-Security-Policy de la page. Résultat : un clic, et des contenus issus de la recherche Copilot au sein de l’entreprise étaient transférés discrètement vers l’extérieur, qu’il s’agisse de textes d’e-mails contenant des identifiants, de détails d’agenda ou de documents.

Ce qui rend cette chaîne dangereuse, c’est son caractère discret. Chaque maillon pris isolément semble inoffensif : un paramètre de recherche est courant, un chargement différé d’image l’est tout autant, et une requête vers un service Microsoft encore plus. Ce n’est que leur enchaînement qui crée un chemin d’exfiltration ne nécessitant ni logiciel malveillant, ni pièce jointe, ni seconde action de l’utilisateur. Pour la victime, le processus ressemblait à une réponse normale de Copilot, tandis qu’en arrière-plan, les données étaient déjà en transit. C’est précisément cette discrétion qui explique pourquoi les défenses classiques passent à côté de l’attaque : il n’y a ni fichier suspect qu’un antivirus pourrait détecter, ni expéditeur manifestement malveillant sur lequel un filtre anti-spam pourrait s’appuyer.

Pourquoi le correctif ne résout pas le problème de fond

Varonis a signalé la faille à Microsoft, publié une preuve de concept et n’a trouvé, au moment de la divulgation, aucune preuve d’exploitation en conditions réelles. Microsoft a neutralisé SearchLeak début juin côté serveur. Pour les entreprises concernées, cela signifie : aucun correctif client, aucune action utilisateur, le danger immédiat est écarté.

Cette tranquillité est pourtant trompeuse si on y voit un point final. SearchLeak illustre toute une classe d’attaques où un assistant IA disposant d’un large accès aux données d’entreprise devient un levier. Un assistant compromis accède à tout ce à quoi l’utilisateur connecté a accès, et c’est précisément ce périmètre qui peut être détourné. Des découvertes comparables sont prévisibles tant que les assistants conserveront un accès aussi étendu.

Le cœur du problème réside dans le modèle de confiance. Copilot Enterprise Search est conçu pour accéder, au nom de l’utilisateur, à l’ensemble de ses données, qu’il s’agisse de boîtes mail, d’agendas, de SharePoint ou de OneDrive. C’est là son utilité, mais aussi sa vulnérabilité. Quiconque incite l’assistant à agir le fait avec ses droits, qui sont vastes. Les injections de paramètres et de prompts ne sont pas des astuces exotiques, mais la conséquence logique du fait qu’une seule et même entrée peut être à la fois contenu et instruction pour la machine. Tant que cette frontière restera floue, cette classe d’attaques persistera, peu importe la rigueur avec laquelle une faille spécifique est corrigée. Cela déplace la problématique : plutôt que de traquer chaque vulnérabilité, il s’agit désormais de déterminer l’ampleur des dégâts qu’un assistant détourné peut causer en cas d’incident.

Comment renforcer dès maintenant la sécurité des équipes

La réponse pertinente n’est pas de désactiver Copilot, mais de limiter les dégâts potentiels en cas de découverte d’une nouvelle faille. Quatre leviers sont déterminants à cet égard.

Restreindre strictement les autorisations. Copilot Enterprise Search hérite des droits d’accès de l’utilisateur. En nettoyant les partages trop larges et les autorisations obsolètes, on réduit le périmètre qu’un assistant compromis peut atteindre. C’est la mesure la plus efficace, et aussi la plus souvent négligée. Concrètement, cela implique de vérifier systématiquement les partages excessifs sur SharePoint et OneDrive, les liens accessibles à « Tous les utilisateurs de l’entreprise » et les droits résiduels issus de projets terminés. Moins un compte standard a de visibilité, moins les dégâts seront importants si ce compte est détourné via l’assistant. Ce principe n’est pas nouveau, mais Copilot lui donne une portée immédiate.

Surveiller les fuites de données. SearchLeak exfiltrait des données via un service externe. Le contrôle des sorties (egress) et la prévention des pertes de données (DLP), capables de détecter des exfiltrations inhabituelles dans l’environnement Microsoft 365, ciblent précisément ce dernier maillon de la chaîne. Microsoft Purview Data Loss Prevention et Defender for Cloud Apps peuvent être configurés pour marquer ou bloquer les contenus sensibles lors de leur exfiltration, même si celle-ci emprunte un chemin apparemment anodin, comme un appel à un service ou une image. L’essentiel est que les règles couvrent non seulement les pièces jointes et les téléchargements évidents, mais aussi les canaux discrets exploités par ce type d’attaque.

Journaliser l’activité des assistants. Sans enregistrement des contenus consultés par Copilot et des destinations externes contactées, une exfiltration n’est détectée qu’une fois les dégâts causés. La journalisation des interactions avec l’IA doit être placée au même niveau que celle des accès privilégiés. Le journal d’audit Microsoft 365 et Purview capturent les opérations de Copilot, à condition que la journalisation soit activée et analysée régulièrement. Sans cette analyse, un incident reste invisible jusqu’à ce qu’il se manifeste ailleurs, et il manque alors la trace nécessaire pour en reconstituer l’ampleur.

Considérer les liens vers l’IA comme une surface d’attaque. Un lien contrôlant un assistant est plus dangereux qu’un lien de phishing classique, car il accède aux données de l’utilisateur en son nom. Les programmes de sensibilisation doivent intégrer ce nouveau vecteur, au lieu de se limiter aux avertissements contre les pages de connexion falsifiées. Les collaborateurs apprennent depuis des années à repérer les expéditeurs suspects et les interfaces d’authentification contrefaites. Un lien pointant vers un outil Microsoft interne familier passe à travers ces filtres, car il ne semble ni étranger ni falsifié. La formation doit faire comprendre cette différence : même un lien d’apparence inoffensive peut amener un assistant à effectuer des actions que l’utilisateur n’a jamais voulues.

Foire aux questions

Qu’est-ce que SearchLeak exactement ?

SearchLeak est une vulnérabilité découverte par Varonis Threat Labs dans la recherche d’entreprise de Microsoft 365 Copilot, répertoriée sous le nom CVE-2026-42824 avec le niveau de gravité le plus élevé de Microsoft. Via un lien préparé, il était possible de soutirer en un clic des données issues de la recherche Copilot, notamment des e-mails, des entrées d’agenda, des documents et des codes à usage unique.

Que signifie l’injection de paramètres dans ce cas ?

Un attaquant insérait via le paramètre de recherche dans l’URL un texte que Copilot traitait comme une instruction plutôt que comme une requête de recherche. Ainsi, il était possible de contrôler l’assistant sans que l’utilisateur ne fasse autre chose que cliquer sur un lien.

Dois-je, en tant que client Microsoft 365, prendre des mesures ?

Pour cette faille spécifique, non. Microsoft a corrigé SearchLeak début juin côté serveur, aucun correctif client ou action de l’utilisateur n’est nécessaire. Il reste néanmoins judicieux de vérifier les autorisations de Copilot et la surveillance, car cette classe d’attaque persiste.

La faille a-t-elle été activement exploitée ?

Varonis indique qu’au moment de la divulgation, aucune preuve d’exploitation sur le terrain n’a été trouvée. Un proof of concept a été publié, sans indication d’une attaque réelle. Cela rassure rétrospectivement, mais ne dit rien des futures découvertes du même type.

Quelle leçon un équipe de sécurité en tire-t-elle ?

Que la sécurité d’un assistant IA dépend de son accès aux données. Des autorisations strictes, un contrôle des sorties, la journalisation de l’activité de l’assistant et la sensibilisation aux liens pilotés par IA limitent les dégâts lorsque la prochaine faille de cette classe apparaît.

Lectures recommandées par la rédaction

Plus d’actualités du réseau MBF Media

cloudmagazin

NIS2 et DORA : séparer proprement les clusters de conformité dans Kubernetes

mybusinessfuture

Quand l’agent enregistre lui-même la facture d’entrée

digital-chiefs

Tout le monde crée désormais des agents IA. Qui les contrôle ?

Source de l’image : générée par IA (juin 2026), certificat C2PA intégré à l’image

Imprimer l'article
Benedikt Langer

À propos de l'auteur: Benedikt Langer

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH