Une faille de sécurité majeure dans Microsoft 365 Copilot Enterprise, l’assistant IA de Microsoft, a permis à des chercheurs de transformer l’outil en mouchard silencieux pour exfiltrer des données sensibles sans que la victime n’en ait conscience. Baptisée SearchLeak, cette vulnérabilité a été révélée le 15 juin 2026 par Dolev Taler, chercheur au sein des Varonis Threat Labs, et a obtenu la note maximale de gravité avant d’être corrigée par Microsoft. Elle est désormais référencée sous l’identifiant CVE-2026-42824.

Ce qu'il faut retenir

  • Trois vulnérabilités initialement banales ont été combinées pour créer SearchLeak, l’une des failles les plus sérieuses jamais documentées sur un assistant IA d’entreprise.
  • L’attaque exploite un paramètre de recherche dans l’URL de Copilot, transformant un simple clic en un ordre exécuté par l’IA pour accéder aux données de l’utilisateur.
  • Les données volées sont exfiltrées via Bing, contournant les protections de Microsoft grâce à une requête autorisée vers un domaine partenaire.
  • L’exploitation ne nécessite ni authentification supplémentaire ni privilèges élevés pour l’attaquant, qui récupère l’accès à l’ensemble des données accessibles par la victime.
  • Microsoft a déployé un correctif côté serveur, sans action requise des utilisateurs, et aucune exploitation en conditions réelles n’a été détectée à ce jour.

Selon Numerama, cette faille repose sur une chaîne d’exploitation impliquant trois faiblesses distinctes, chacune d’entre elles étant relativement commune dans les environnements informatiques. Pourtant, leur combinaison a donné naissance à une attaque particulièrement insidieuse, capable de contourner la plupart des mécanismes de protection classiques. « Il a fallu attendre que ces trois vulnérabilités se rencontrent pour créer l’une des failles les plus dangereuses jamais observées sur un assistant IA d’entreprise », explique Dolev Taler dans un communiqué.

Une attaque en trois étapes, exploitant des mécanismes anodins

Le point d’entrée de l’attaque réside dans une fonctionnalité d’ergonomie de Microsoft 365 Copilot : la possibilité de pré-remplir une requête via un paramètre « q » intégré à l’URL. D’après les chercheurs, ce paramètre n’est pas traité comme un simple texte, mais comme une instruction exécutable par le moteur d’IA. En envoyant un lien pointant vers un domaine microsoft.com authentique, un attaquant peut y insérer un ordre caché : rechercher dans la boîte mail de la victime, extraire des informations sensibles (comme un code MFA ou le titre d’un email), puis les transmettre via une fausse balise image.

Le second mécanisme exploité repose sur un défaut de synchronisation entre l’affichage de la réponse générée par Copilot et le traitement du code HTML par le navigateur. Microsoft applique une protection censée neutraliser toute balise dangereuse en transformant le HTML en texte brut. Pourtant, les chercheurs ont observé qu’une balise image pouvait être interprétée et exécutée pendant quelques millisecondes avant d’être bloquée. « Cette fenêtre temporelle suffit à déclencher une requête vers le serveur de l’attaquant », précise le rapport de Varonis Threat Labs.

L’exfiltration des données : le rôle inattendu de Bing

Reste un dernier obstacle à contourner : la politique de sécurité du contenu de Microsoft, qui bloque normalement toute requête vers un domaine non autorisé. Les chercheurs ont alors découvert une faille dans cette logique grâce à Bing. Le moteur de recherche de Microsoft propose une fonction permettant d’analyser une image à partir d’une URL. Comme Bing figure parmi les domaines autorisés, une requête vers ce service n’est pas bloquée. L’astuce consiste alors à intégrer les données volées dans une URL transmise à Bing, qui tente de récupérer l’image depuis le serveur de l’attaquant pour l’analyser.

Résultat : ce n’est pas le navigateur de la victime qui contacte directement l’attaquant, mais l’infrastructure de Bing elle-même. Les informations sensibles se retrouvent alors dans les journaux du serveur distant, où elles peuvent être récupérées discrètement par l’attaquant. « L’attaquant récupère ainsi un accès équivalent à celui de la victime, ce qui lui permet de consulter emails, documents SharePoint, détails de réunions ou données salariales », souligne le rapport.

Une exploitation simplifiée et sans trace apparente

Pour déclencher l’attaque, il suffit qu’un utilisateur clique sur un lien reçu par email, via Teams ou tout autre canal, sans même nécessiter une authentification supplémentaire ou des privilèges élevés du côté de l’attaquant. Comme Copilot Enterprise opère avec les mêmes droits que l’utilisateur connecté, l’attaquant obtient un accès complet à l’ensemble des données accessibles par la victime dans l’organisation. « Aucun plugin ni installation préalable n’est nécessaire », rappellent les chercheurs. « La victime ne perçoit rien d’anormal, car l’ensemble de la manipulation se déroule en arrière-plan. »

Microsoft a réagi rapidement en déployant un correctif entièrement côté serveur, sans nécessiter d’action de la part des utilisateurs. Aucune exploitation de cette faille en conditions réelles n’a été signalée à ce jour. Varonis Threat Labs recommande toutefois aux équipes de sécurité de surveiller les paramètres « q » suspects et de traiter tout flux généré par une IA comme non fiable.

Et maintenant ?

La découverte de SearchLeak soulève des questions sur la robustesse des assistants IA intégrés aux suites bureautiques. Pour les entreprises utilisant Microsoft 365 Copilot, la priorité est de s’assurer que le correctif a été appliqué. Les éditeurs de solutions de sécurité devraient également renforcer leurs mécanismes de détection des requêtes suspectes, notamment celles impliquant Bing ou d’autres services partenaires. Les prochaines semaines seront cruciales pour évaluer si d’autres failles similaires existent dans d’autres assistants IA du marché.

Cette faille rappelle aussi l’importance de limiter les droits d’accès des outils automatisés, même au sein d’un environnement Microsoft. Comme le rappelle Dolev Taler, « les attaques contre les assistants IA sont appelées à se multiplier ». Les organisations doivent donc adopter une approche proactive, combinant mises à jour régulières, surveillance des flux de données et formation des utilisateurs aux risques liés à l’ingénierie sociale.

Reste à savoir si d’autres vulnérabilités de ce type émergeront dans les semaines à venir, ou si cette découverte marquera un tournant dans la sécurisation des outils intégrant l’intelligence artificielle.

L’attaque permet à un attaquant d’accéder à l’intégralité des données accessibles par la victime dans son environnement Microsoft 365, notamment les emails contenant des codes de sécurité, les détails de réunions, les documents partagés via SharePoint ou OneDrive, ainsi que des informations sensibles comme des plans de rachat ou des données salariales.

Microsoft a déployé un correctif côté serveur, sans action requise de la part des utilisateurs. Les administrateurs système peuvent vérifier que la mise à jour a bien été appliquée via le centre de gestion des mises à jour de Microsoft 365. Varonis recommande également de surveiller les paramètres « q » suspects dans les requêtes adressées à Copilot.