Nouvelle faille de Microsoft 365 Copilot : comment des pirates peuvent piller vos données en un « seul clic »
Une faille critique a été récemment identifiée dans Microsoft 365 Copilot Enterprise, permettant à des attaquants de dérober des emails, des codes d’authentification et des fichiers confidentiels en utilisant un simple lien piégé. Ce problème a été mis en lumière par les chercheurs de Varonis.
Microsoft 365 Copilot Enterprise, intégré dans des applications comme Word, Excel, PowerPoint, Outlook et Teams, repose sur une fonctionnalité clé appelée « Enterprise Search ». Cette fonction permet à l’IA de naviguer à travers Outlook, SharePoint et Teams pour rechercher des fichiers et des documents. Les experts ont découvert que ce moteur de recherche pouvait être exploité pour voler des informations sensibles en enchaînant trois vulnérabilités distinctes, qu’ils ont regroupées sous le nom de « SearchLeak ».
Dans le cadre de cette attaque, un pirate crée un lien piégé redirigeant vers un domaine Microsoft, dissimulant des instructions malveillantes. Lorsque la victime clique sur ce lien, Copilot s’active automatiquement, sans que l’utilisateur ne s’en rende compte. L’IA, avec les permissions de la victime, peut alors fouiller dans ses emails et récupérer des codes d’authentification. Bien que Microsoft ait mis en place des garde-fous pour empêcher l’exécution de code malveillant, ceux-ci ne s’activent qu’après que Copilot ait généré sa réponse.
De plus, pour contourner les restrictions de sécurité, les requêtes peuvent passer par Bing, le moteur de recherche de Microsoft, ce qui permet aux attaquants de récupérer des données sans éveiller de soupçons. Les experts de Varonis soulignent que ces failles permettent d’extraire silencieusement des informations sensibles de la boîte mail, du calendrier, de SharePoint et de OneDrive de la victime.
L’exploitation de ces vulnérabilités représente un risque de pillage de données considérable pour les utilisateurs de Microsoft 365. Ce n’est pas la première fois qu’une telle vulnérabilité est découverte dans le système, une précédente faille, nommée EchoLeak, avait déjà montré que des données pouvaient être volées via un simple email non ouvert. Varonis a signalé ces vulnérabilités à Microsoft, qui a rapidement déployé une mise à jour pour corriger le problème.
Source : Varonis
