6 Min. temps de lecture<\/p>\n
Un simple clic sur un lien pi\u00e9g\u00e9 a suffi pour que Microsoft 365 Copilot transmette \u00e0 l\u2019ext\u00e9rieur des e-mails, des entr\u00e9es d\u2019agenda et m\u00eame des codes \u00e0 usage unique pour l\u2019authentification multifacteur.<\/strong> La faille, baptis\u00e9e \u00ab SearchLeak \u00bb par ses d\u00e9couvreurs de Varonis Threat Labs et r\u00e9f\u00e9renc\u00e9e sous le code CVE-2026-42824 avec le niveau de gravit\u00e9 maximal de Microsoft, a d\u00e9but\u00e9 par une injection de param\u00e8tre : une valeur manipul\u00e9e dans l\u2019URL qui a subrepticement gliss\u00e9 des instructions \u00e0 l\u2019assistant. Microsoft a corrig\u00e9 la vuln\u00e9rabilit\u00e9 d\u00e9but juin c\u00f4t\u00e9 serveur, sans n\u00e9cessiter d\u2019intervention de la part des utilisateurs. Le probl\u00e8me de fond reste toutefois entier, car la voie d\u2019attaque demeure ouverte pour les assistants IA qui combinent un large acc\u00e8s aux donn\u00e9es d\u2019entreprise avec un contr\u00f4le insuffisant de la sortie et de l\u2019exfiltration.<\/p>\n Les points cl\u00e9s en bref<\/p>\n En lien:<\/span>Copilot trouve le fichier que personne ne voulait partager<\/a> \/<\/span> La faille que seule l\u2019IA a d\u00e9couverte<\/a><\/p>\n SearchLeak reposait sur une cha\u00eene de trois failles qui ne devenaient dangereuses qu\u2019une fois combin\u00e9es. Tout a commenc\u00e9 par l\u2019injection de param\u00e8tre : via le param\u00e8tre de recherche dans l\u2019URL, il \u00e9tait possible de glisser \u00e0 Copilot un fragment de texte que l\u2019assistant interpr\u00e9tait non pas comme une entr\u00e9e utilisateur, mais comme une instruction. Un lien anodin se transformait ainsi en commande dissimul\u00e9e.<\/p>\n Le deuxi\u00e8me maillon de la cha\u00eene \u00e9tait une faille temporelle lors de la construction de la page de r\u00e9ponse. Un \u00e9l\u00e9ment image inject\u00e9 par l\u2019attaquant \u00e9tait charg\u00e9 avant que la sortie ne soit enti\u00e8rement nettoy\u00e9e. Le troisi\u00e8me maillon exploitait une requ\u00eate c\u00f4t\u00e9 serveur via un service Bing, qui faisait passer les donn\u00e9es exfiltr\u00e9es outre la Content-Security-Policy de la page. R\u00e9sultat : un clic, et des contenus issus de la recherche Copilot au sein de l\u2019entreprise \u00e9taient transf\u00e9r\u00e9s discr\u00e8tement vers l\u2019ext\u00e9rieur, qu\u2019il s\u2019agisse de textes d\u2019e-mails contenant des identifiants, de d\u00e9tails d\u2019agenda ou de documents.<\/p>\n Ce qui rend cette cha\u00eene dangereuse, c\u2019est son caract\u00e8re discret. Chaque maillon pris isol\u00e9ment semble inoffensif : un param\u00e8tre de recherche est courant, un chargement diff\u00e9r\u00e9 d\u2019image l\u2019est tout autant, et une requ\u00eate vers un service Microsoft encore plus. Ce n\u2019est que leur encha\u00eenement qui cr\u00e9e un chemin d\u2019exfiltration ne n\u00e9cessitant ni logiciel malveillant, ni pi\u00e8ce jointe, ni seconde action de l\u2019utilisateur. Pour la victime, le processus ressemblait \u00e0 une r\u00e9ponse normale de Copilot, tandis qu\u2019en arri\u00e8re-plan, les donn\u00e9es \u00e9taient d\u00e9j\u00e0 en transit. C\u2019est pr\u00e9cis\u00e9ment cette discr\u00e9tion qui explique pourquoi les d\u00e9fenses classiques passent \u00e0 c\u00f4t\u00e9 de l\u2019attaque : il n\u2019y a ni fichier suspect qu\u2019un antivirus pourrait d\u00e9tecter, ni exp\u00e9diteur manifestement malveillant sur lequel un filtre anti-spam pourrait s\u2019appuyer.<\/p>\n Varonis a signal\u00e9 la faille \u00e0 Microsoft, publi\u00e9 une preuve de concept et n’a trouv\u00e9, au moment de la divulgation, aucune preuve d’exploitation en conditions r\u00e9elles. Microsoft a neutralis\u00e9 SearchLeak d\u00e9but juin c\u00f4t\u00e9 serveur. Pour les entreprises concern\u00e9es, cela signifie : aucun correctif client, aucune action utilisateur, le danger imm\u00e9diat est \u00e9cart\u00e9.<\/p>\n Cette tranquillit\u00e9 est pourtant trompeuse si on y voit un point final. SearchLeak illustre toute une classe d’attaques o\u00f9 un assistant IA disposant d’un large acc\u00e8s aux donn\u00e9es d’entreprise devient un levier. Un assistant compromis acc\u00e8de \u00e0 tout ce \u00e0 quoi l’utilisateur connect\u00e9 a acc\u00e8s, et c’est pr\u00e9cis\u00e9ment ce p\u00e9rim\u00e8tre qui peut \u00eatre d\u00e9tourn\u00e9. Des d\u00e9couvertes comparables sont pr\u00e9visibles tant que les assistants conserveront un acc\u00e8s aussi \u00e9tendu.<\/p>\n Le c\u0153ur du probl\u00e8me r\u00e9side dans le mod\u00e8le de confiance. Copilot Enterprise Search est con\u00e7u pour acc\u00e9der, au nom de l’utilisateur, \u00e0 l’ensemble de ses donn\u00e9es, qu’il s’agisse de bo\u00eetes mail, d’agendas, de SharePoint ou de OneDrive. C’est l\u00e0 son utilit\u00e9, mais aussi sa vuln\u00e9rabilit\u00e9. Quiconque incite l’assistant \u00e0 agir le fait avec ses droits, qui sont vastes. Les injections de param\u00e8tres et de prompts ne sont pas des astuces exotiques, mais la cons\u00e9quence logique du fait qu’une seule et m\u00eame entr\u00e9e peut \u00eatre \u00e0 la fois contenu et instruction pour la machine. Tant que cette fronti\u00e8re restera floue, cette classe d’attaques persistera, peu importe la rigueur avec laquelle une faille sp\u00e9cifique est corrig\u00e9e. Cela d\u00e9place la probl\u00e9matique : plut\u00f4t que de traquer chaque vuln\u00e9rabilit\u00e9, il s’agit d\u00e9sormais de d\u00e9terminer l’ampleur des d\u00e9g\u00e2ts qu’un assistant d\u00e9tourn\u00e9 peut causer en cas d’incident.<\/p>\n La r\u00e9ponse pertinente n’est pas de d\u00e9sactiver Copilot, mais de limiter les d\u00e9g\u00e2ts potentiels en cas de d\u00e9couverte d’une nouvelle faille. Quatre leviers sont d\u00e9terminants \u00e0 cet \u00e9gard.<\/p>\n Restreindre strictement les autorisations.<\/strong> Copilot Enterprise Search h\u00e9rite des droits d’acc\u00e8s de l’utilisateur. En nettoyant les partages trop larges et les autorisations obsol\u00e8tes, on r\u00e9duit le p\u00e9rim\u00e8tre qu’un assistant compromis peut atteindre. C’est la mesure la plus efficace, et aussi la plus souvent n\u00e9glig\u00e9e. Concr\u00e8tement, cela implique de v\u00e9rifier syst\u00e9matiquement les partages excessifs sur SharePoint et OneDrive, les liens accessibles \u00e0 \u00ab\u00a0Tous les utilisateurs de l’entreprise\u00a0\u00bb et les droits r\u00e9siduels issus de projets termin\u00e9s. Moins un compte standard a de visibilit\u00e9, moins les d\u00e9g\u00e2ts seront importants si ce compte est d\u00e9tourn\u00e9 via l’assistant. Ce principe n’est pas nouveau, mais Copilot lui donne une port\u00e9e imm\u00e9diate.<\/p>\n Surveiller les fuites de donn\u00e9es.<\/strong> SearchLeak exfiltrait des donn\u00e9es via un service externe. Le contr\u00f4le des sorties (egress) et la pr\u00e9vention des pertes de donn\u00e9es (DLP), capables de d\u00e9tecter des exfiltrations inhabituelles dans l’environnement Microsoft 365, ciblent pr\u00e9cis\u00e9ment ce dernier maillon de la cha\u00eene. Microsoft Purview Data Loss Prevention et Defender for Cloud Apps peuvent \u00eatre configur\u00e9s pour marquer ou bloquer les contenus sensibles lors de leur exfiltration, m\u00eame si celle-ci emprunte un chemin apparemment anodin, comme un appel \u00e0 un service ou une image. L’essentiel est que les r\u00e8gles couvrent non seulement les pi\u00e8ces jointes et les t\u00e9l\u00e9chargements \u00e9vidents, mais aussi les canaux discrets exploit\u00e9s par ce type d’attaque.<\/p>\n Journaliser l’activit\u00e9 des assistants.<\/strong> Sans enregistrement des contenus consult\u00e9s par Copilot et des destinations externes contact\u00e9es, une exfiltration n’est d\u00e9tect\u00e9e qu’une fois les d\u00e9g\u00e2ts caus\u00e9s. La journalisation des interactions avec l’IA doit \u00eatre plac\u00e9e au m\u00eame niveau que celle des acc\u00e8s privil\u00e9gi\u00e9s. Le journal d’audit Microsoft 365 et Purview capturent les op\u00e9rations de Copilot, \u00e0 condition que la journalisation soit activ\u00e9e et analys\u00e9e r\u00e9guli\u00e8rement. Sans cette analyse, un incident reste invisible jusqu’\u00e0 ce qu’il se manifeste ailleurs, et il manque alors la trace n\u00e9cessaire pour en reconstituer l’ampleur.<\/p>\n Consid\u00e9rer les liens vers l’IA comme une surface d’attaque.<\/strong> Un lien contr\u00f4lant un assistant est plus dangereux qu’un lien de phishing classique, car il acc\u00e8de aux donn\u00e9es de l’utilisateur en son nom. Les programmes de sensibilisation doivent int\u00e9grer ce nouveau vecteur, au lieu de se limiter aux avertissements contre les pages de connexion falsifi\u00e9es. Les collaborateurs apprennent depuis des ann\u00e9es \u00e0 rep\u00e9rer les exp\u00e9diteurs suspects et les interfaces d’authentification contrefaites. Un lien pointant vers un outil Microsoft interne familier passe \u00e0 travers ces filtres, car il ne semble ni \u00e9tranger ni falsifi\u00e9. La formation doit faire comprendre cette diff\u00e9rence : m\u00eame un lien d’apparence inoffensive peut amener un assistant \u00e0 effectuer des actions que l’utilisateur n’a jamais voulues.<\/p>\n SearchLeak est une vuln\u00e9rabilit\u00e9 d\u00e9couverte par Varonis Threat Labs dans la recherche d’entreprise de Microsoft 365 Copilot, r\u00e9pertori\u00e9e sous le nom CVE-2026-42824 avec le niveau de gravit\u00e9 le plus \u00e9lev\u00e9 de Microsoft. Via un lien pr\u00e9par\u00e9, il \u00e9tait possible de soutirer en un clic des donn\u00e9es issues de la recherche Copilot, notamment des e-mails, des entr\u00e9es d’agenda, des documents et des codes \u00e0 usage unique.<\/p>\n Un attaquant ins\u00e9rait via le param\u00e8tre de recherche dans l’URL un texte que Copilot traitait comme une instruction plut\u00f4t que comme une requ\u00eate de recherche. Ainsi, il \u00e9tait possible de contr\u00f4ler l’assistant sans que l’utilisateur ne fasse autre chose que cliquer sur un lien.<\/p>\n Pour cette faille sp\u00e9cifique, non. Microsoft a corrig\u00e9 SearchLeak d\u00e9but juin c\u00f4t\u00e9 serveur, aucun correctif client ou action de l’utilisateur n’est n\u00e9cessaire. Il reste n\u00e9anmoins judicieux de v\u00e9rifier les autorisations de Copilot et la surveillance, car cette classe d’attaque persiste.<\/p>\n Varonis indique qu’au moment de la divulgation, aucune preuve d’exploitation sur le terrain n’a \u00e9t\u00e9 trouv\u00e9e. Un proof of concept a \u00e9t\u00e9 publi\u00e9, sans indication d’une attaque r\u00e9elle. Cela rassure r\u00e9trospectivement, mais ne dit rien des futures d\u00e9couvertes du m\u00eame type.<\/h3>\n Que la s\u00e9curit\u00e9 d’un assistant IA d\u00e9pend de son acc\u00e8s aux donn\u00e9es. Des autorisations strictes, un contr\u00f4le des sorties, la journalisation de l’activit\u00e9 de l’assistant et la sensibilisation aux liens pilot\u00e9s par IA limitent les d\u00e9g\u00e2ts lorsque la prochaine faille de cette classe appara\u00eet.<\/p>\n\n
Comment un lien se transforme en fuite de donn\u00e9es<\/h2>\n
Pourquoi le correctif ne r\u00e9sout pas le probl\u00e8me de fond<\/h2>\n
Comment renforcer d\u00e8s maintenant la s\u00e9curit\u00e9 des \u00e9quipes<\/h2>\n
Foire aux questions<\/h2>\n
Qu’est-ce que SearchLeak exactement ?<\/h3>\n
Que signifie l’injection de param\u00e8tres dans ce cas ?<\/h3>\n
Dois-je, en tant que client Microsoft 365, prendre des mesures ?<\/h3>\n
La faille a-t-elle \u00e9t\u00e9 activement exploit\u00e9e ?<\/h3>\n
Quelle le\u00e7on un \u00e9quipe de s\u00e9curit\u00e9 en tire-t-elle ?<\/h3>\n
Lectures recommand\u00e9es par la r\u00e9daction<\/h3>\n