Il y a quelque chose de profondément inconfortable dans l’idée qu’un outil censé vous faire gagner du temps puisse simultanément vider vos tiroirs en silence. C’est pourtant exactement le scénario que les chercheurs en sécurité de Varonis Threat Labs ont mis sur la table cette semaine, avec une démonstration qui devrait faire froid dans le dos à toute entreprise ayant adopté Microsoft 365 Copilot.
La faille, baptisée SearchLeak, ne nécessite ni plugin malveillant, ni manipulation complexe, ni même une interaction prolongée avec la victime. Un seul clic suffit. L’assistant IA de Microsoft peut être détourné pour exfiltrer des données sensibles sans que l’utilisateur ciblé ne perçoive la moindre anomalie. Pas d’alerte, pas de comportement suspect visible, pas de trace évidente. Le vol se déroule dans l’ombre portée d’un outil que les salariés utilisent précisément parce qu’ils lui font confiance.
Ce qui rend SearchLeak particulièrement inquiétant, c’est qu’il ne s’agit pas d’un bug obscur dans une fonctionnalité marginale. Copilot est au cœur de la stratégie de Microsoft pour les entreprises. Des millions d’organisations dans le monde s’en remettent quotidiennement à lui pour rédiger des emails, synthétiser des réunions, chercher des documents internes. Autrement dit, l’assistant a précisément accès à tout ce qu’un attaquant voudrait dérober.
« Transformer l’assistant IA de Microsoft en complice silencieux d’un vol de données, sans plugin, en un seul clic, et sans que la victime ne s’en aperçoive. »
La technique exploitée s’appuie sur ce qu’on appelle une injection de prompt indirecte : en manipulant le contenu que Copilot est amené à lire et à traiter, un attaquant peut détourner ses capacités de recherche pour extraire des informations et les transmettre à l’extérieur. L’IA obéit, parce qu’elle fait exactement ce pour quoi elle a été conçue : chercher, synthétiser, répondre. Elle ne distingue pas une requête légitime d’une instruction malveillante habilement dissimulée dans un document piégé.
On touche ici au paradoxe central des assistants IA intégrés aux suites professionnelles : leur force est leur faiblesse. Plus un outil est puissant, plus son accès aux données est large, plus son détournement potentiel est dévastateur. Microsoft a beau mettre en avant ses garde-fous de sécurité, SearchLeak démontre que ces protections présentaient au moins une fissure exploitable sans expertise technique particulière.
La question qui se pose désormais n’est pas tant de savoir si Microsoft va corriger cette vulnérabilité spécifique, mais combien d’autres variantes du même principe existent encore dans l’ombre. Les injections de prompt sont un vecteur d’attaque en pleine expansion, et chaque nouveau modèle d’IA intégré à un écosystème d’entreprise élargit mécaniquement la surface d’exposition. Les équipes de sécurité courent après des failles dont la nature même change avec chaque mise à jour du modèle sous-jacent.
Les DSI et RSSI qui ont déployé Copilot en pensant surtout à la productivité ont peut-être sous-estimé ce qu’ils ouvraient réellement.
En savoir plus sur Glorieux Geek
Subscribe to get the latest posts sent to your email.
