Les données de Microsoft 365 Copilot exposées – Touchées par une vulnérabilité zéro-clic

Des chercheurs en sécurité d’Aim Security ont découvert “EchoLeak”, la première vulnérabilité d’intelligence artificielle (IA) zéro-clic connue dans Microsoft 365 Copilot qui a permis aux attaquants de siphonner silencieusement des données sensibles d’entreprise simplement en envoyant un e-mail malicieusement conçu qui ne nécessitait aucune interaction de l’utilisateur, aucun clic sur un lien et aucun téléchargement.

“Cette vulnérabilité représente une avancée significative dans la recherche sur la sécurité de l’IA car elle démontre comment les attaquants peuvent automatiquement exfiltrer les informations les plus sensibles du contexte de Microsoft 365 Copilot sans nécessiter aucune interaction de l’utilisateur”, a déclaré Adir Gruss, co-fondateur et CTO d’Aim Security, en décrivant l’attaque zéro-clic.

Qu’est-ce qu’EchoLeak ?

Découvert en janvier 2025 et divulgué après la correction de l’équipe MSRC de Microsoft en mai, EchoLeak aurait pu permettre aux attaquants d’exfiltrer des informations sensibles de l’environnement Microsoft 365 connecté d’un utilisateur, y compris les e-mails Outlook, les fichiers OneDrive, les documents Office, le contenu SharePoint et l’historique des discussions Teams, simplement en envoyant un e-mail malicieusement conçu. Cet e-mail contournerait plusieurs mesures de sécurité et déclencherait Copilot pour divulguer des données internes qu’il garderait autrement privées.

Ce qui est encore plus alarmant, c’est que l’attaquant n’a pas besoin d’être un employé de l’organisation. Tout expéditeur externe pourrait initier l’attaque.

Dans un article de blog publié mercredi, l’équipe d’Aim Labs a écrit qu’EchoLeak exploitait un concept qu’ils ont décrit comme une “Violation de portée de Modèle de Langage Large (LLM)”. Dans ce cas, un acteur malveillant envoie un e-mail ayant l’apparence d’un message innocent, contenant une invite cachée déguisée à l’aide d’un formatage markdown.

Lorsque l’utilisateur pose plus tard une question liée à Copilot, l’IA récupère l’e-mail de son contexte et exécute sans le savoir les instructions intégrées, extrayant des données sensibles de sources internes comme des documents, des e-mails ou des discussions.

Ensuite, l’invite de l’attaquant demande à Copilot d’incorporer les données extraites dans une image ou un lien. Cela amène le navigateur à récupérer automatiquement la ressource, souvent à travers des domaines Microsoft de confiance comme SharePoint ou Teams, envoyant instantanément les informations sensibles vers un serveur contrôlé par l’attaquant, tout en restant invisible pour l’utilisateur.

Comment fonctionne la chaîne d’attaque EchoLeak

Il y a quatre étapes dans lesquelles la chaîne d’attaque fonctionne :

1. Contournement XPIA

Microsoft utilise un système appelé XPIA (attaque d’injection croisée de prompt) pour détecter et bloquer les prompts suspects avant qu’ils n’atteignent le LLM sous-jacent de M365 Copilot. Cependant, Aim Security a découvert que les attaques par injection de prompt pouvaient facilement contourner les classificateurs XPIA si elles étaient formulées comme des conseils décontractés pour le destinataire de l’e-mail en évitant complètement des mots tels que IA/assistants/Copilot, etc.

2. Contournement de la rédaction de liens

Normalement, Copilot rédige les liens markdown externes de l’historique des discussions avant que l’utilisateur ait la moindre chance de cliquer sur ces liens.

Mais en utilisant des astuces, comme des liens markdown de style référence, les attaquants évitent les filtres de rédaction de Copilot et ne sont pas supprimés de la discussion par M365 Copilot. Ces liens sont ensuite silencieusement exfiltrés dans la sortie du LLM.

3. Contournement de la rédaction d’images
Pour éliminer le besoin pour l’utilisateur de cliquer sur quoi que ce soit, les attaquants utilisent des images markdown de style référence. Le navigateur essaie de “charger” l’image depuis un serveur contrôlé par l’attaquant, ce qui déclenche automatiquement l’exfiltration de données sans interaction de l’utilisateur.

4. Contournement CSP utilisant SharePoint

Étant donné que la plupart des domaines externes sont bloqués par la politique de sécurité de contenu (CSP) de Microsoft, les chercheurs ont acheminé leur exploit à travers des services Microsoft autorisés comme SharePoint et Microsoft Teams. Cela a permis à l’attaquant d’exfiltrer silencieusement des données contextuelles sensibles de Copilot sans aucune interaction de l’utilisateur, détection ou autorisations d’accès supplémentaires.

Au-delà des mécanismes techniques, l’exploit repose sur une tactique qu’Aim Labs appelle “RAG Spraying”, où les attaquants augmentent leur taux de réussite en inondant le système avec un long e-mail divisé en morceaux ou plusieurs e-mails conçus pour correspondre à des requêtes d’utilisateur probables.

Une fois que Copilot récupère le contenu malveillant, il suit sans le savoir les instructions de l’attaquant pour extraire les données les plus sensibles de son contexte interne et les envoyer vers le domaine de l’attaquant, le tout sans que l’utilisateur en soit conscient. Cette chaîne d’exploit met en évidence des défauts de conception critiques dans la façon dont les assistants IA interagissent avec les données internes et interprètent les entrées des utilisateurs.

Réponse de Microsoft

Microsoft a attribué le CVE-2025-32711 à la vulnérabilité critique zéro-clic avec un score CVSS de 9.3, et a appliqué un correctif côté serveur en mai 2025, ce qui signifie qu’il n’a nécessité aucune intervention de l’utilisateur. Le géant de Redmond a également noté qu’il n’y a aucune preuve d’exploitation dans le monde réel, et aucun client n’est connu pour avoir été affecté.

À la lumière de la vulnérabilité EchoLeak, les utilisateurs et les organisations sont conseillés de prendre plusieurs mesures proactives pour atténuer les risques potentiels. Cela inclut la désactivation du contexte des e-mails externes dans Copilot pour limiter les sources de données non fiables, la révision des e-mails entrants pour détecter des invites, la mise en œuvre de garde-fous spécifiques à l’IA au niveau du pare-feu pour surveiller et bloquer les comportements inhabituels, et la restriction du rendu markdown dans les sorties de l’IA pour prévenir l’exfiltration de données via des liens et des images.