Cette faille dans l’IA de Microsoft 365 permettait de voler vos données juste en lui demandant, voici comment

Une vulnérabilité vient d’être découverte dans l’IA de Microsoft 365 Copilot. Elle permettait à un pirate de récupérer des données sensibles sans clic, sans action, et sans que vous ne le sachiez. Microsoft a réagi, mais la menace montre les dangers de l’IA mal contrôlée.

Les assistants intelligents sont de plus en plus utilisés. Ils aident à résumer des documents, organiser des réunions ou retrouver des fichiers. Mais une faille critique vient rappeler que même ces applis peuvent être détournées à des fins malveillantes. En février dernier, nous rapportions déjà que les hackers utilisent désormais l’IA pour pirater des réseaux en moins d’une heure, grâce à des outils capables de repérer et exploiter les failles presque instantanément. Plus récemment, un rapport du GTIG indiquait que l’IA Gemini, développée par Google, était massivement détournée pour mener des attaques sophistiquées. Aujourd’hui, c’est Microsoft qui est touché.

Baptisée EchoLeak, cette faille exploitait le comportement de l’IA intégrée à Microsoft 365 Copilot. Le pirate n’a même pas besoin que l’utilisateur clique sur quoi que ce soit. Il envoie simplement un e-mail contenant un message piégé, déguisé sous une forme banale. Si l’utilisateur pose ensuite une question à Copilot, ce dernier peut accidentellement mélanger des données internes confidentielles avec le contenu piégé. Résultat : des informations sensibles sont envoyées au pirate, sans que personne ne s’en rende compte.

L’IA de Microsoft pouvait livrer vos données sans clic ni alerte, juste par une simple question

La faille a été identifiée comme une « injection indirecte », un type d’attaque où l’IA est trompée par un contenu invisible pour l’utilisateur. Microsoft a reconnu le problème sous le nom CVE-2025-32711, avec un niveau de gravité très élevé : 9,3 sur 10. Le correctif a été déployé en juin. Selon les chercheurs, cette attaque permettait de récupérer automatiquement des données confidentielles via Outlook, SharePoint ou Teams, juste en posant une question à Copilot. Le tout sans interaction directe avec l’e-mail malveillant.

L’alerte a été lancée par Aim Security, une entreprise de cybersécurité israélienne, et relayée par The Hacker News. Selon ses experts, EchoLeak est une faille dite “zéro-clic”, car elle n’a besoin d’aucune action de l’utilisateur pour fonctionner. Le pirate s’appuie sur le comportement automatique de Copilot pour extraire des données sensibles. Cela démontre les risques réels liés à l’IA utilisée dans des contextes professionnels : même si elle paraît fiable, elle peut être manipulée à distance.