Un défaut de sécurité dans Microsoft 365 et son assistant Copilot a permis à l’intelligence artificielle de résumer des courriels confidentiels, exposant potentiellement des informations sensibles. L’incident, révélé par Bleeping Computer, souligne les risques croissants liés à l’intégration de l’IA dans les outils de travail.
Le problème, identifié en interne sous le numéro CW1226324, affectait spécifiquement la fonctionnalité de chat « onglet travail » de Copilot. Microsoft a confirmé que le bug de code, détecté le 21 janvier, provoquait une récupération et un résumé incorrects des courriels présents dans les dossiers « Éléments envoyés » et « Brouillons », même lorsque ces messages étaient marqués comme confidentiels. En d’autres termes, des informations qui auraient dû être protégées étaient accessibles à l’IA.
Selon la documentation de Microsoft, le bug entraînait un « traitement incorrect des e-mails portant une étiquette confidentielle par le chat Microsoft 365 Copilot ». Cela signifie que les politiques de prévention des pertes de données (DLP), conçues pour empêcher l’accès non autorisé aux informations sensibles, étaient contournées.
Lancé à l’automne dernier, Copilot Chat est un assistant d’IA intégré aux applications Microsoft 365 telles que Word, Excel, Outlook et PowerPoint. Il est présenté comme un outil capable de comprendre le contexte des documents et des communications pour aider les utilisateurs. L’incident rappelle que l’intégration rapide de l’IA dans les outils professionnels introduit de nouvelles vulnérabilités en matière de cybersécurité, notamment des risques d’injection rapide et de non-conformité des données.
Microsoft a déclaré avoir commencé à déployer un correctif début février et continue de surveiller la situation. La société contacte également certains utilisateurs pour vérifier l’efficacité de la correction. Pour l’instant, Microsoft n’a pas communiqué le nombre d’organisations touchées, précisant que l’étendue du problème pourrait évoluer au fur et à mesure de l’enquête.
Voir aussi : Moltbook est un « cauchemar de sécurité » qui attend de se produire, prévient un expert.