Microsoft a corrigé discrètement une vulnérabilité classée comme maximale critique sur sa plateforme d'IA M365 Copilot mardi dernier. Cette faille, découverte par la société de sécurité Aim Security, permettait à des attaquants de voler des données sensibles, y compris des codes d'authentification à deux facteurs, à partir d'e-mails accessibles à Copilot en n'utilisant qu'un seul message soigneusement conçu.
La vulnérabilité, identifiée sous le numéro CVE-2025-32711 et surnommée « EchoLeak », présentait un score de gravité CVSS de 9,3 sur 10.
Comment EchoLeak fonctionnait
L'attaque n'exigeait aucun clic de la victime. Un attaquant pouvait envoyer un e-mail malveillant qui, lorsqu'il était traité par Copilot, trompait l'IA pour qu'elle extraye des données organisationnelles : e-mails, documents, historiques de discussions, etc. L'exploit démontré par Aim Security comme preuve de concept a montré un vol automatique de données déclenché simplement par la résumé ou l'interaction de Copilot avec le message empoisonné.
L'attaque a contourné les défenses existantes de Microsoft, y compris les classificateurs d'injection entre prompts et les rédactions de liens externes.
Aim Security a découvert et signalé de manière responsable cette vulnérabilité à Microsoft en janvier 2025. Microsoft a déployé des correctifs côté serveur d'ici mai 2025, ce qui signifie qu'aucune action de la part des clients n'était nécessaire. L'entreprise a confirmé qu'elle n'avait aucune connaissance d'utilisateurs affectés ou d'exploitations malveillantes avant l'application du correctif.
La divulgation publique de la vulnérabilité a commencé à émerger vers le 11-12 juin, les chercheurs ayant révélé leur exploit de preuve de concept lundi.
Un modèle récurrent en matière de sécurité de l'IA
L'architecture fondamentale des LLM, qui traitent tout le texte dans une fenêtre de contexte unifiée, rend extrêmement difficile l'application d'une limite de sécurité entre les instructions fiables et les données non fiables. Microsoft 365 Copilot intègre des modèles de langage de grande taille avec des sources de données d'entreprise via la génération enrichie par récupération (RAG), et la vulnérabilité EchoLeak a démontré comment du contenu contrôlé par un attaquant dans la boîte aux lettres d'un utilisateur pouvait manipuler Copilot pour provoquer des divulgations non autorisées sans aucune action de l'utilisateur.
La nature sans clic de l'attaque la rend particulièrement préoccupante pour les environnements professionnels. Les organisations ayant déployé M365 Copilot auprès de milliers d'employés ont été potentiellement exposées, sans qu'aucun utilisateur n'ait besoin de commettre une erreur. La surface d'attaque se résumait simplement à « recevoir un e-mail ».
Ce que cela signifie pour la crypto et le Web3
L'industrie cryptographie intègre rapidement des agents IA dans son infrastructure. Les agents IA sur chaîne, les bots de trading automatisés, les interfaces de wallet pilotées par l'IA et les intégrations de modèles de langage à grande échelle pour les protocoles DeFi se multiplient. Chacune de ces implémentations fait face au même problème fondamental d'injection de prompts exploité par EchoLeak.
Si un agent IA gérant des transactions sur chaîne peut être trompé pour suivre des instructions malveillantes intégrées dans les données qu'il traite, les conséquences vont au-delà de l'exfiltration de données pour inclure une perte financière directe, notamment la capacité à déplacer des fonds, signer des transactions ou interagir avec des contrats intelligents.
Dans le domaine de la cryptomonnaie, où le code est souvent open source et les transactions irréversibles, la fenêtre entre la découverte et l'exploitation est généralement beaucoup plus étroite que dans les environnements d'entreprise, où la divulgation responsable et le correctif rapide ont limité l'impact d'EchoLeak.