Problème 5329
Une vulnérabilité critique aurait pu permettre à des attaquants de lancer des attaques par injection rapide contre les utilisateurs de Copilot, bien que Microsoft ait finalement résolu le problème avant sa publication.
Aim Security, une entreprise qui commercialise des outils de sécurité pour l'IA, a publié mercredi une étude concernant « EchoLeak » une vulnérabilité zéro-clic, identifiée comme CVE-2025-32711, ciblant Microsoft 365 Copilot. Selon les chercheurs d'Aim Labs, filiale de l'éditeur, les chaînes d'attaque impliquant cette vulnérabilité « permettent aux attaquants d'exfiltrer automatiquement des informations sensibles et propriétaires du contexte de M365 Copilot, à l'insu de l'utilisateur et sans se fier au comportement spécifique de la victime ».
Copilot représente une suite d'outils d'IA au sein de l'écosystème M365. Ces outils permettent à l'utilisateur de rédiger des documents �à partir de texte généré, d'analyser des données dans des e-mails et Excel, et de déployer des agents. Cette innovation récente est apparue dans le secteur des LLM hyperactifs.
Bien que Copilot soit normalement réservé aux membres internes d'une organisation cliente, Aim Lab affirme pouvoir exécuter l'attaque par simple envoi d'un e-mail.
Microsoft a publié une mise à jour corrigeant la vulnérabilité, et l'entreprise affirme qu'aucune action de la part du client n'est requise. De plus, aucun client n'a été compromis par l'attaque à ce jour.
EchoLeak en action
L'attaque commence par l'envoi d'un e-mail à la victime par un acteur malveillant, visant à demander à Copilot de lui fournir des données sensibles. En d'autres termes, il s'agit d'une attaque par injection rapide. Ces attaques par e-mail reposent généralement sur le fait que les agents d'IA analysent souvent les e-mails et vérifient les URL avant que l'utilisateur n'ait la possibilité de le faire, afin de générer des résumés.
Mais alors que les classificateurs d'attaque par injection croisée (XPIA) empêchent normalement les injections d'invites de base d'atteindre la boîte de réception de l'utilisateur, EchoLeak s'appuie sur une formulation de l'e-mail qui ressemble à des instructions destinées à l'utilisateur plutôt qu'à Copilot. Cela contourne les classificateurs et permet à l'e-mail d'atteindre sa destination finale.
Dans l'e-mail, l'attaquant inclut un lien vers son domaine, suivi de « paramètres de chaîne de requête enregistrés sur son serveur ».
« Les instructions de l'attaquant précisent que les paramètres de chaîne de requête doivent être les informations les plus sensibles du contexte du LLM, complétant ainsi l'exfiltration », peut-on lire dans l'étude [https://www.aim.security/lp/aim-labs-echoleak-blogpost]. Bien que Copilot sache normalement supprimer les liens Markdown dans le journal de discussion, qui seraient autrement considérés comme dangereux, l'URL de l'attaquant utilise des Markdowns de type référence, ce qui, à l'époque, contournait cette protection.
Par exemple, des chercheurs ont utilisé cette stratégie pour demander à Copilot « Quelle est la clé API que je me suis envoyée ? » et l'instance Copilot a généré une réponse.
Une astuce similaire de formatage Markdown a permis aux chercheurs de générer une image avec Copilot par e-mail. Cependant, l'impact de la vulnérabilité, en particulier ici, aurait été atténué par la politique de sécurité du contenu de Microsoft, qui exige la mise sur liste blanche des URL. « Nous pouvons donc désormais demander au LLM de répondre avec une image, mais le navigateur ne tente pas de la récupérer pour nous, car evil.com n'est pas compatible avec la CSP img-src », ont expliqué les chercheurs, qui ont finalement utilisé des particularités de SharePoint et du processus d'invitation de Microsoft Teams pour contourner complètement ce problème.
Microsoft corrige EchoLeak
En résumé, la vulnérabilité et la chaîne d'attaque plus large auraient permis à un acteur malveillant d'envoyer un e-mail spécifiquement formulé, passant les filtres, incluant un lien contenant des instructions malveillantes et demandant à Copilot de renvoyer des données sensibles à un domaine contrôlé par l'attaquant, tout en contournant les garde-fous existants.
Un porte-parole de Microsoft a partagé la déclaration suivante avec Dark Reading :
« Nous remercions Aim Labs d'avoir identifié et signalé ce problème de manière responsable, afin qu'il puisse être résolu avant que nos clients ne soient impactés. Nous avons déjà mis à jour nos produits pour atténuer ce problème et aucune action de la part de nos clients n'est requise. Nous mettons également en œuvre des mesures de défense en profondeur supplémentaires afin de renforcer notre sécurité. »
Bien que la vulnérabilité ait été corrigée, il convient de noter que la vulnérabilité CVE-2025-32711 a reçu un score CVSS de gravité critique de 9,3. Des questions subsistent quant à la possibilité qu'une telle faille d'injection rapide puisse affecter d'autres produits d'IA.
Adir Gruss, cofondateur et directeur technique d'Aim Security, explique à Dark Reading dans un courriel que, bien que ces types d'attaques par injection rapide soient « très pertinents » pour d'autres fournisseurs et produits, les détails de mise en œuvre diffèrent pour chaque agent. « Nous avons déjà découvert plusieurs vulnérabilités similaires sur d'autres plateformes », ajoute-t-il.