Faille d'un clic dans Microsoft 365 Copilot exposant des données sensibles
Des chercheurs du Varonis Threat Labs ont démontré comment un seul lien malveillant aurait pu permettre aux attaquants d’exfiltrer discrètement des emails, des entrées d’agenda, des fichiers indexés et même des codes d’authentification multifactorielle depuis Microsoft 365 Copilot.
Une chaîne de trois vulnérabilités négligées
L’équipe a enchaîné trois failles, surnommées SearchLeak, en un chemin d’attaque fluide. Comme l’hameçon était hébergé sur un domaine authentique microsoft.com, les filtres anti-hameçonnage et les scanners d’URL standards n’ont pas détecté la menace. Une fois l’utilisateur cliqué, l’attaquant pouvait demander l’index de recherche Entreprise de Copilot, extraire des données sensibles et les transmettre vers un serveur externe sans déclencher d’alerte.
Pourquoi ce correctif est crucial
Microsoft a publié des correctifs et mis à jour sa documentation. Cet incident met en lumière comment les assistants basés sur l’IA générative, qui mélangent contenus internes et web, peuvent devenir des fuites de données involontaires si leurs moteurs de recherche en arrière-plan sont mal configurés ou mal limités. Les équipes sécurité sont invitées à revoir les autorisations de recherche Entreprise de Copilot et à auditer tous les connecteurs exposant des ressources internes aux requêtes d’IA.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.