EchoLeak : la faille qui transformait l'IA Copilot de Microsoft en espion

Votre assistant personnel, censé vous faire gagner en productivité, pourrait-il devenir un mouchard à votre insu ? C'est la question glaçante que pose la découverte de la faille "EchoLeak". Révélée par les chercheurs de la société Aim Labs, cette vulnérabilité critique affectait l'un des outils d'intelligence artificielle les plus en vue du moment : Microsoft 365 Copilot. La méthode d'attaque est d'une simplicité et d'une efficacité redoutables. Elle ne nécessite aucune action de la part de l'utilisateur. Pas un seul clic. Une première qui marque un tournant dans la sécurité des IA.

EchoLeak, ou comment transformer Copilot en espion

Imaginez le scénario: vous recevez un e-mail ayant l'air parfaitement anodin, comme une publicité ou une newsletter classique. Vous ne l'ouvrez même pas forcément, et pourtant, ce message contient en réalité un véritable cheval de Troie mais pas n'importe lequel. Des instructions malveillantes y sont cachées, rédigées de manière à être comprises par une IA.

Plus tard, vous utilisez Copilot pour une tâche tout à fait normale. Par exemple, vous lui demandez de vous faire un résumé de vos derniers échanges sur un projet. Pour vous répondre, Copilot va scanner vos documents récents, y compris vos e-mails, grâce à son moteur de recherche interne (appelé RAG). C'est là que le piège se referme. En lisant l'e-mail piégé, l'IA exécute les ordres secrets qu'il contient. Sans que vous vous en rendiez compte, elle se met alors à chercher des informations sensibles sur votre ordinateur (d'autres e-mails, des fichiers, des conversations...) et les envoie discrètement à un serveur contrôlé par le pirate.

La mécanique subtile d'une attaque en plusieurs étapes

L'ingéniosité de l'attaque EchoLeak réside dans sa capacité à contourner les barrières de sécurité de Microsoft. Pour comprendre, il faut décomposer la méthode utilisée, qui est une véritable chaîne d'astuces.

D'abord, l'injection de l'ordre malveillant. Les instructions données à l'IA sont déguisées en phrases normales, comme si elles s'adressaient à un humain. Cela permet de tromper les premiers filtres de Microsoft, conçus pour détecter les commandes suspectes. Ensuite, il y a "l'empoisonnement" de la mémoire de l'IA. Pour s'assurer que Copilot lira bien son message piégé, l'attaquant peut envoyer de nombreux e-mails ou un seul message très long. L'IA, en cherchant des informations, aura ainsi de grandes chances de tomber dessus.

Mais le plus ingénieux reste sans conteste la technique d'exfiltration des données. L'IA de Copilot est programmée pour ne pas créer de liens vers des sites externes inconnus. Les chercheurs ont donc trouvé une parade. Ils ont demandé à l'IA de ne pas créer un lien, mais une "image". Le navigateur de l'utilisateur tente alors de charger cette image automatiquement. Le problème, c'est que Microsoft n'autorise que les images provenant de ses propres domaines (SharePoint, Teams, etc.). La solution ? L'attaquant a demandé à Copilot de générer une fausse image dont l'adresse pointe vers un domaine autorisé de Teams, mais en cachant les données volées directement dans l'URL de cette "image". L'opération est totalement invisible pour l'utilisateur, qui ne voit jamais rien s'afficher.

Un problème plus profond que Copilot

Cette faille, aussi complexe soit-elle, révèle un problème fondamental qui va bien au-delà de Microsoft. Les chercheurs parlent de "LLM Scope Violation", ou "dépassement de périmètre" par le modèle de langage. Le souci, c'est que l'IA, dans son "processus de pensée", mélange des données de confiance (vos documents internes) et des données non fiables (un e-mail externe piégé), sans faire la différence. C'est comme avoir un assistant qui exécute tout ce qu'il lit, sans jamais se demander si la source est légitime.

Cette faiblesse architecturale est potentiellement présente chez tous les agents d'IA qui fonctionnent sur le même principe, comme Google Gemini ou d'autres assistants en développement. EchoLeak n'est donc pas juste une faille dans un produit. C'est la découverte d'une nouvelle catégorie de cyberattaques, propre à l'ère de l'intelligence artificielle. Les experts s'attendent à voir fleurir de nouvelles techniques d'exploitation de ce type dans les mois à venir.

La réponse de Microsoft et les leçons pour les entreprises

Heureusement, dans le cas d'EchoLeak, l'histoire se termine bien. Alerté par Aim Labs en janvier, Microsoft a pris la menace très au sérieux, la classant comme "critique". Après plus de trois mois de travail pour trouver une solution efficace, un correctif a été déployé côté serveurs en mai 2025. Aucune action n'est requise de la part des utilisateurs, et la firme assure qu'aucune exploitation malveillante de la faille n'a été détectée dans la nature.

Mais cet événement est un avertissement sans frais pour toutes les entreprises qui déploient massivement des outils d'IA. Un assistant comme Copilot n'est plus un simple gadget de productivité. C'est devenu une nouvelle porte d'entrée potentielle pour les attaquants. Il est désormais impératif de repenser la sécurité autour de ces outils : auditer précisément les données auxquelles l'IA peut accéder, former les employés aux nouveaux risques, et surveiller activement les interactions. L'ère de l'insouciance est terminée.