Une faille de sécurité zero-click récemment découverte expose les données sensibles des utilisateurs de Microsoft 365 Copilot sans aucune interaction de leur part. Appelée EchoLeak, cette vulnérabilité critique (CVE-2025-32711, score CVSS : 9,3) met en évidence les risques liés aux assistants IA intégrés dans les outils collaboratifs comme Outlook, Microsoft Teams et SharePoint. Cette menace concerne directement les professionnels utilisant des assistants IA et illustre combien les cyberattaques via l’intelligence artificielle deviennent plus sophistiquées. Microsoft a corrigé cette faille, mais sa connaissance est essentielle pour toute entreprise soucieuse de sa cybersécurité.
EchoLeak : une vulnérabilité zero-click dans Microsoft 365 Copilot
Une attaque sans clic ni action utilisateur
La faille EchoLeak, découverte par l’entreprise de cybersécurité israélienne Aim Security, repose sur un concept nommé LLM Scope Violation. Cette technique permet à un pirate d’abuser du fonctionnement contextuel de l’IA pour extraire des données sensibles de manière automatisée. Sans interaction nécessaire de l’utilisateur, une simple question posée à Copilot suffit à déclencher la fuite d’informations vers l’attaquant.
Fonctionnement de l’attaque EchoLeak
Le déroulement de l’attaque comporte quatre étapes :
- Injection : L’attaquant envoie un email anodin contenant l’exploit à un employé via Outlook.
- Demande utilisateur : L’employé pose une question professionnelle à Microsoft 365 Copilot.
- Violation de contexte : L’IA mélange les contenus externes non fiables avec des données internes sécurisées via le moteur RAG.
- Exfiltration : La réponse de Copilot contient des liens Teams ou SharePoint divulguant des données internes vers l’attaquant.
Ce scénario montre comment l’intelligence artificielle peut être manipulée pour devenir un vecteur direct de fuite de données internes, même lorsque l’accès utilisateur est strictement réservé aux employés autorisés.
Les risques croissants liés à l’architecture des IA conversationnelles
Les attaques par empoisonnement de l’environnement d’exécution (MCP)
Dans un contexte plus large de l’IA en cybersécurité, des chercheurs de CyberArk alertent sur une autre tactique appelée Full-Schema Poisoning (FSP). Elle touche le protocole MCP (Model Context Protocol), utilisé par les agents IA pour interagir avec divers outils.
Contrairement aux attaques classiques visant uniquement la description des outils, le FSP va au-delà : chaque composant du schéma des outils devient un point d’injection potentiel. Cela permet à un pirate de créer un outil apparemment inoffensif, accompagné d’un faux message d’erreur, incitant l’IA à exécuter des actions sensibles comme l’accès à une clé SSH.
GitHub et la faille d’exécution toxique
Un exemple concret concerne une faille critique dans l’intégration GitHub avec MCP. En exploitant une issue GitHub piégée, un attaquant peut forcer un agent IA déclenché par l’utilisateur à révéler des données de dépôts privés. Les chercheurs d’Invariant Labs qualifient cela de flux d’agent toxique.
Cette vulnérabilité étant structurelle, elle ne peut être corrigée uniquement côté serveur. L’utilisation de contrôles de permissions granulaire et la surveillance des interactions entre agents et systèmes MCP sont indispensables pour limiter l’exposition.
L’exploitation du protocole SSE via attaque DNS Rebinding
La faille SSE dans les navigateurs modernes
Le protocole SSE (Server-Sent Events), utilisé pour la communication en temps réel entre clients MCP et serveurs, a récemment été déclaré obsolète en novembre 2024. En cause : les attaques DNS Rebinding qui tirent parti des failles de sécurité liées au même domaine d’origine dans les navigateurs pour accéder aux ressources internes comme localhost.
Via une campagne de phishing, un site malveillant peut pousser le navigateur d’un utilisateur à considérer une ressource externe comme interne et établir une connexion à un serveur MCP local. Ce contournement des politiques de sécurité des navigateurs rend possible l’exfiltration de données sensibles depuis l’environnement interne MCP.
Comment se protéger de ce rebinding MCP ?
Les experts de Straiker AI recommandent strictement de :
- Mettre en place une authentification obligatoire sur les serveurs MCP.
- Valider l’en-tête Origin de chaque requête entrante pour s’assurer qu’elle provient d’une source fiable.
Ces pratiques doivent devenir la base de toute architecture de sécurité utilisant des assistants IA.
Se former pour mieux comprendre et se défendre
Les attaques comme EchoLeak ou celles ciblant le MCP montrent à quel point comprendre la logique des agents IA est essentiel pour les professionnels de la cybersécurité. Pour ceux cherchant à apprendre à hacker dans un cadre légal et éthique, CyberCare propose un livre pour apprendre à hacker permettant de maîtriser les techniques fondamentales utilisées dans ces attaques modernes, incluant l’exploitation d’IA et les injections logiques.
Ces nouvelles menaces démontrent la nécessité pour les entreprises de s’accompagner de partenaires tels que CyberCare, spécialisés en audit IA et sécurité des environnements Microsoft 365, pour sécuriser de manière proactive l’intégration des intelligences artificielles dans leurs systèmes d’information.
