Une vulnérabilité critique dans l’assistant IA de Microsoft permettait à un attaquant d’exfiltrer des informations confidentielles à l’aide d’un mail piégé, sans aucune interaction requise de la part de la victime.
- Une faille critique dans Microsoft Copilot permettait d'exfiltrer des données via un mail piégé, sans interaction utilisateur.
- Les chercheurs ont exploité une "LLM Scope Violation" pour manipuler Copilot et extraire des informations sensibles.
- Microsoft a corrigé la vulnérabilité en juin, renforçant les mécanismes de sécurité pour éviter de futures attaques.
Depuis quelque temps déjà, lorsque vous interrogez Copilot dans Microsoft 365, l’assistant sait piocher les bonnes informations dans l’environnement professionnel, puis composer une réponse solide à partir des fichiers de l’entreprise, de l’historique des échanges, des mails ou des documents internes. C’est précisément ce qui fait son intérêt… mais aussi ce qui peut le rendre vulnérable, comme l’a démontré Aim Security avec EchoLeak. Cette faille, désormais corrigée, permettait à des attaquants de détourner le fonctionnement de Copilot pour lui faire transmettre des données internes à un serveur distant, sans aucune interaction nécessaire côté utilisateur.
Des prompts malveillants dissimulés dans un corps de mail…
À l’origine de cette vulnérabilité critique (CVE-2025-32711 ; CVSS 9.3), les chercheurs pointent ce qu’ils appellent une « LLM Scope Violation », c'est-à-dire une violation du périmètre contextuel dans lequel l’IA est censée opérer.
Pour rappel, Copilot repose sur des grands modèles de langage (notamment GPT-4o) associés à un moteur de récupération d’informations, dit RAG, qui complète les réponses en s’appuyant sur des ressources internes accessibles via Microsoft 365. Mails, fichiers OneDrive, messages Teams ou pages SharePoint peuvent ainsi être injectés dans le contexte si l’assistant les juge utiles pour traiter une requête.
Le problème, ici, vient de l’absence de frontière claire entre les contenus internes, considérés comme fiables, et les données externes, potentiellement malveillantes. Copilot peut ainsi traiter un mail envoyé depuis l’extérieur comme une source valide, au même titre qu’un document interne.
Il n’en fallait pas plus aux chercheurs d’Aim Security pour tenter d’exploiter cette faiblesse, ce qu’ils sont parvenus à faire sans trop de difficultés. Ils se sont effet contentés de rédiger un mail contenant des consignes officiellement adressées au destinataire, mais formulées de telle sorte que Copilot les interprète comme un prompt au moment de traiter une requête.
Concrètement, l’instruction piégée demandait à l’IA de générer un lien ou une image formatés en markdown, pointant vers un serveur distant contrôlé par l’attaquant, et d’y intégrer dans les paramètres d’URL une donnée sensible issue du contexte Microsoft 365, comme un nom de fichier, un identifiant ou un extrait de document. Il suffisait alors que l’utilisateur ou l’utilisatrice sollicite Copilot sur un sujet lié à ce message – par exemple pour retrouver une information dans sa boîte mail – pour que l’assistant traite le contenu, exécute la consigne déguisée et intègre le lien dans sa réponse.
Evidemment, pour que l’exfiltration aboutisse, il aurait en principe fallu cliquer sur ce lien. Sauf que dans le cas présent, diverses fonctionnalités intégrées à Microsoft 365 pouvaient suffire à déclencher la requête. La prévisualisation automatique des liens dans Teams, notamment, provoquait un appel vers le serveur distant dès l’apparition du message, sans aucune interaction de la part de l’utilisateur ou de l’utilisatrice. Une belle faille zero click, en somme.
… et des mécanismes de sécurité pris à revers
Pour en arriver là, les chercheurs ont bien sûr dû contourner plusieurs mécanismes de sécurité censés empêcher ce type de dérive. Le premier visé s’appelle XPIA, un système censé filtrer les contenus injectés dans le contexte pour écarter les sources non fiables. Ici, il a suffi de formuler les instructions comme de simples consignes adressées au lecteur humain – donc sans jamais mentionner Copilot – pour éviter les blocages.
Il fallait ensuite parvenir à rendre le lien exploitable. En principe, les liens markdown classiques sont redirigés ou masqués par Microsoft pour éviter toute fuite vers des domaines externes. Mais les chercheurs ont utilisé une variante plus discrète, dite reference-style, dans laquelle le lien est défini à part, en fin de message. Ce format, apparemment ignoré par les filtres, permettait au modèle de générer une URL parfaitement cliquable, contenant dans ses paramètres des fragments de données sensibles extraits du contexte.
Restait enfin à contourner la politique de sécurité du contenu (CSP), censée bloquer les requêtes vers les domaines non autorisés. Les chercheurs ont d’abord tenté leur chance avec SharePoint, avant de se tourner vers Microsoft Teams, dont la fonction de prévisualisation en charge de récupérer les liens à afficher, n’applique manifestement aucune restriction sur les domaines contactés ni sur les paramètres transmis dans l’URL.
La faille a depuis été corrigée dans le Patch Tuesday de juin, déployé la semaine dernière. Microsoft affirme avoir désactivé tous les vecteurs identifiés et lancé un audit complet des mécanismes d’injection contextuelle.
Source : Aim Security
04 février 2025 à 14h11
