Un chercheur en sécurité a révélé une vulnérabilité importante dans Microsoft 365 Copilot qui permettait aux attaquants de voler des données sensibles, notamment des e-mails, à l’aide de diagrammes cliquables.
Dans un article détaillé du 21 octobre, le chercheur Adam Logue a expliqué comment il a enchaîné une attaque par injection indirecte avec un diagramme sirène spécialement conçu.
Les diagrammes sirène sont basés sur du code des diagrammes qui représentent des structures et des processus, générés à l’aide de définitions de texte inspirées de Markdown et faciles à écrire et …
En utilisant cette méthode, l’IA a été amenée à récupérer les données des utilisateurs privés et en l’intégrant dans un lien hypertexte déguisé en bouton de connexion. Microsoft a corrigé la faille fin septembre suite à la divulgation privée de Logue. L’incident s’ajoute à une série de problèmes de sécurité récents pour Copilot, mettant en évidence les nouvelles surfaces d’attaque créées par les agents d’IA d’entreprise et les défis liés à leur sécurisation.
Un outil ingénieux Heist : enchaîner l’injection d’invites avec des diagrammes de vol de données
L’attaque détaillée de Logue était un exploit sophistiqué en plusieurs étapes qui a retourné les propres fonctionnalités de Copilot contre lui-même. Tout a commencé par l’injection indirecte d’invites, une technique dans laquelle des instructions malveillantes sont cachées dans un document qu’une IA est invitée à traiter.
Il a créé une feuille de calcul Excel avec du texte masqué en utilisant des « instructions imbriquées » et une « modification progressive des tâches » pour détourner le flux de travail de l’IA. Ces instructions ordonnaient à Copilot d’ignorer les données financières visibles du document et de suivre à la place un nouvel ensemble de commandes malveillantes.
Forçant l’IA à exécuter une nouvelle tâche, Copilot a utilisé ses outils internes pour rechercher les e-mails récents de l’utilisateur, encoder le contenu dans une chaîne hexadécimale, puis construire un diagramme Sirène. Mermaid est un outil légitime pour créer des graphiques à partir de texte, mais Logue a découvert que ses capacités CSS pouvaient être utilisées de manière abusive pour l’exfiltration de données.
Comme l’explique Logue,”M365 Copilot a ensuite généré un simple diagramme de sirène, ressemblant à un bouton de connexion… Ce”bouton”de diagramme de sirène contenait des éléments de style CSS avec un lien hypertexte vers le serveur d’un attaquant.”Son diagramme était conçu pour ressembler à un bouton « Connexion » convaincant, invitant l’utilisateur à cliquer dessus.
Une fois qu’un utilisateur cliquait sur le bouton, les données codées étaient envoyées directement à un serveur contrôlé par un attaquant. Cette méthode est particulièrement insidieuse car elle exploite l’accès autorisé de l’IA aux données des utilisateurs, transformant un assistant de confiance en un complice involontaire.
Bien que la technique soit similaire à une vulnérabilité découverte dans le curseur IDE, cet exploit était une attaque sans clic, alors que la méthode de Logue nécessitait une interaction minimale de l’utilisateur pour réussir.
Correction discrète de Microsoft et décision de prime controversée
Suite à des pratiques de divulgation responsable, Logue a signalé la chaîne complète de vulnérabilité au Microsoft Security Response Center (MSRC) le 15 août 2025.
Son processus n’a pas été entièrement fluide ; MSRC a d’abord eu du mal à reproduire le problème, exigeant des preuves supplémentaires de la part de Logue avant que l’équipe d’ingénierie ne confirme le comportement le 8 septembre.
Un correctif a finalement été développé et déployé le 26 septembre, neutralisant efficacement la menace. L’atténuation de Microsoft était simple mais efficace. Selon le chercheur,”J’ai confirmé que Microsoft avait supprimé la possibilité d’interagir avec du contenu dynamique, tel que les hyperliens dans les diagrammes Mermaid rendus dans M365 Copilot.”
En désactivant les hyperliens dans les diagrammes rendus, la société a fermé le canal d’exfiltration sans supprimer complètement la fonctionnalité. Cependant, malgré la gravité de la vulnérabilité, l’équipe de primes du MSRC a déterminé que la soumission n’était pas éligible à une récompense.
La raison officielle était que Microsoft 365 Copilot était considéré comme hors de portée de son programme de primes de bogues au moment de la rédaction du rapport. Microsoft n’a pas non plus attribué d’identifiant CVE public à la faille, limitant sa visibilité dans les bases de données publiques de vulnérabilités.
Un modèle troublant de failles de sécurité de l’IA
Loin d’un incident isolé, l’exploit du diagramme Mermaid s’inscrit dans un modèle plus large et plus troublant de défis de sécurité auxquels est confronté le produit phare d’IA de Microsoft.
Survenant quelques mois seulement après une autre faille critique d’exfiltration de données, elle suggère un problème systémique dans la sécurisation des agents d’IA profondément intégrés aux données sensibles de l’entreprise.
En juin 2025, Microsoft a corrigé la vulnérabilité « EchoLeak » dans Microsoft 365 Copilot, une faille qui permettait également aux attaquants de voler des données d’entreprise via un seul e-mail contrefait. À l’époque, l’avis de Microsoft reconnaissait qu’il s’agissait d’une forme « d’injection de commandes IA dans M365 Copilot permettant à un attaquant non autorisé de divulguer des informations sur un réseau. »
Cet incident précédent a introduit un nouveau concept de menace très pertinent pour l’exploit Mermaid. La société de sécurité Aim Security, qui a découvert EchoLeak, a qualifié cette nouvelle classe d’exploit de « violation de la portée LLM », notant que « cette technique manipule un agent d’IA génératif en lui fournissant des instructions malveillantes cachées dans ce qui semble être une entrée externe inoffensive, trompant l’agent pour qu’il accède et divulgue des données internes privilégiées. »
De telles attaques manipulent une IA pour qu’elle utilise à mauvais escient son accès autorisé, un risque. que les outils de sécurité traditionnels ne sont pas conçus pour détecter. De tels incidents confirment les sombres prédictions de l’industrie sur l’avenir de la cybersécurité.
Cette dernière faille souligne une prévision de Gartner, qui prédit que « d’ici 2028, 25 % des violations en entreprise seront attribuées à l’abus d’agents d’IA, de la part d’acteurs externes et internes malveillants. »
Découvertes répétées de vulnérabilités, allant de problèmes dans SharePoint Copilot à Les risques fondamentaux d’injection rapide créent un récit difficile pour Microsoft. L’entreprise pousse de manière agressive son « ère des agents IA » tout en s’empressant de construire les garde-fous de sécurité nécessaires pour les gérer.
Pour l’instant, la vulnérabilité du diagramme Mermaid est un puissant rappel qu’à mesure que l’IA devient plus performante, la surface d’attaque devient plus abstraite et dangereuse, exigeant une refonte fondamentale de la sécurité de l’entreprise.
