Problème 5307

Une nouvelle attaque baptisée « EchoLeak » est la première vulnérabilité d'IA « zéro-clic » connue. Elle permet aux attaquants d'exfiltrer des données sensibles de Microsoft 365 Copilot depuis le contexte utilisateur, sans interaction.

L'attaque a été conçue par des chercheurs d'Aim Labs en janvier 2025, qui ont transmis leurs conclusions à Microsoft. Le géant technologique a attribué l'identifiant CVE-2025-32711 à la faille de divulgation d'informations, la classant comme critique, et l'a corrigée côté serveur en mai. Aucune action de l'utilisateur n'est donc requise.

Microsoft a également souligné l'absence de preuve d'exploitation concrète ; cette faille n'a donc impacté aucun client.

Microsoft 365 Copilot est un assistant d'IA intégré aux applications Office telles que Word, Excel, Outlook et Teams. Il utilise les modèles GPT d'OpenAI et Microsoft Graph pour aider les utilisateurs à générer du contenu, analyser des données et répondre à des questions en fonction des fichiers internes, des e-mails et des discussions de leur organisation.

Bien que corrigé et jamais exploité de manière malveillante, EchoLeak est important car il met en évidence une nouvelle classe de vulnérabilités appelée « violation de portée LLM », qui provoque la fuite de données internes privilégiées par un modèle de langage étendu (LLM) sans intention ni interaction de l'utilisateur.

Comme l'attaque ne nécessite aucune interaction avec la victime, elle peut être automatisée pour effectuer une exfiltration silencieuse de données dans les environnements d'entreprise, ce qui souligne la dangerosité de ces failles lorsqu'elles sont déployées contre des systèmes intégrant l'IA.

Fonctionnement d'EchoLeak

L'attaque commence par l'envoi d'un e-mail malveillant à la cible, contenant du texte sans rapport avec Copilot et formaté pour ressembler à un document professionnel classique.

L'e-mail intègre une injection d'invite cachée conçue pour ordonner au LLM d'extraire et d'exfiltrer des données internes sensibles.

Comme l'invite est formulée comme un message normal adressé à un humain, elle contourne les protections du classificateur XPIA (attaque par injection inter-invites) de Microsoft.

Par la suite, lorsque l'utilisateur pose à Copilot une question commerciale connexe, l'e-mail est récupéré dans le contexte de l'invite du LLM par le moteur de génération augmentée de récupération (RAG) en raison de son formatage et de sa pertinence apparente.

L'injection malveillante, atteignant alors le LLM, le « trompe » pour qu'il extraie des données internes sensibles et les insère dans un lien ou une image spécialement conçus.

Aim Labs a constaté que certains formats d'image Markdown incitent le navigateur à demander l'image, ce qui envoie automatiquement l'URL, y compris les données intégrées, au serveur de l'attaquant.

Microsoft CSP bloque la plupart des domaines externes, mais les URL Microsoft Teams et SharePoint sont fiables ; elles peuvent donc être exploitées pour exfiltrer des données sans problème.

EchoLeak a peut-être été corrigé, mais la complexité croissante et l'intégration plus poussée des applications LLM dans les flux de travail métier submergent déjà les défenses traditionnelles.

Cette même tendance est vouée à créer de nouvelles failles exploitables furtivement par des adversaires pour des attaques à fort impact.

Il est important pour les entreprises de renforcer leurs filtres d'injection d'invites, de mettre en œuvre une portée granulaire des entrées et d'appliquer des filtres de post-traitement sur les sorties LLM afin de bloquer les réponses contenant des liens externes ou des données structurées.

De plus, les moteurs RAG peuvent être configurés pour exclure les communications externes afin d'éviter de récupérer des invites malveillantes.