Nombre de lecteurs : 2
SearchLeak : la faille qui transformait Copilot en outil de vol de données en un clic

SearchLeak : une vulnérabilité exploitant Microsoft 365 Copilot pour le vol de données

SearchLeak est une technique d’attaque récemment identifiée, capable de transformer Microsoft 365 Copilot Enterprise en un outil de vol de données activable par un simple clic. En cliquant sur une URL spécialement conçue par un attaquant, un utilisateur peut involontairement exfiltrer des données via Copilot et Bing. Cette vulnérabilité a été corrigée par Microsoft.

SearchLeak : trois failles combinées en une attaque

Les chercheurs de Varonis ont développé SearchLeak en exploitant trois vulnérabilités distinctes :

  1. Injection de paramètre dans un prompt : Cette technique détourne la manière dont Microsoft 365 Copilot Search traite le paramètre d’URL q, utilisé pour les requêtes de recherche.

  2. Race condition lors du rendu HTML : Un code HTML brut est temporairement interprété par le navigateur avant d’être encapsulé dans des blocs censés le neutraliser.

  3. Contournement de la Content-Security-Policy (CSP) : Une faille de type SSRF dans Bing permet d’utiliser ce dernier comme un proxy pour exfiltrer les données.

Cette méthode s’appuie sur la version Copilot destinée aux entreprises, permettant ainsi d’accéder à des informations sensibles telles que des e-mails, des fichiers SharePoint et OneDrive.

Bing, un rôle de proxy d’exfiltration

Pour que cette attaque soit efficace, l’utilisateur doit simplement cliquer sur un lien malveillant. En lançant Microsoft 365 Copilot Search avec des instructions spécifiques intégrées dans le paramètre q, l’attaquant peut demander à Copilot d’extraire des données.

Les chercheurs de Varonis expliquent qu’un attaquant peut concevoir une URL qui demande à Copilot de rechercher dans les e-mails, d’en extraire le titre et de l’intégrer dans une URL d’image. Ce processus est invisible pour l’utilisateur, qui ne voit qu’une réponse de Copilot.

Correction de la vulnérabilité

Cette faille de sécurité critique, référencée sous le nom CVE-2026-42824, a été corrigée par Microsoft le 4 juin 2026. Les utilisateurs n’ont rien à faire, le correctif étant appliqué automatiquement au sein de l’IA Copilot.

Il est recommandé de faire preuve de prudence et de ne pas cliquer sur des liens, même s’ils semblent légitimes.

Source : Varonis

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *