Ichibantitle
Back to Blog

Copilot Cowork exfiltre vos fichiers : plongée au cœur de la sécurité des agents IA

May 26, 2026by Ichiban Team
securityaicopilotvulnerabilities

Hero

À l'heure où l'intelligence artificielle passe du simple chatbot conversationnel à l'agent autonome capable d'exécuter des tâches à notre place, nos surfaces d'attaque numériques s'étendent de manière exponentielle. Ce changement de paradigme a été brutalement mis en évidence par une vulnérabilité récemment découverte par le cabinet de recherche en sécurité PromptArmor. Ils ont détaillé comment Microsoft Copilot Cowork — une fonctionnalité agentique avancée de la préversion Microsoft 365 Frontier — peut être exploitée pour exfiltrer silencieusement des fichiers sensibles. Pour les équipes d'ingénierie et de sécurité, cette révélation fait l'effet d'un électrochoc quant aux dangers latents liés à la combinaison d'une injection de prompt indirecte et d'un accès étendu au graphe d'entreprise.

#Que s'est-il passé ? Anatomie de l'exploit

Le cœur de la vulnérabilité réside dans un choix d'architecture en apparence inoffensif. Copilot Cowork a été conçu pour assister les utilisateurs en résumant des documents, en gérant les emplois du temps et en récupérant des fichiers. Afin de garantir la sécurité du système, Microsoft a mis en place des garde-fous imposant une validation humaine avant que l'agent n'entreprenne des « actions sensibles », comme l'envoi d'e-mails ou de messages sur Microsoft Teams à des destinataires externes ou à des collègues.

Cependant, les chercheurs de PromptArmor ont décelé une faille critique : ce processus de validation humaine est totalement contourné si l'agent envoie un message directement à l'utilisateur actif.

Les attaquants ont exploité cet oubli en recourant à une injection de prompt indirecte. Voici comment se déroule la séquence d'attaque :

  1. La source empoisonnée : Un attaquant intègre des instructions malveillantes et invisibles au sein d'un document, d'une invitation à une réunion ou d'une ressource partagée, sachant que l'utilisateur cible demandera très probablement à Copilot d'interagir avec ce contenu ou de le résumer.
  2. Le déclencheur : Lorsque l'utilisateur demande à Copilot de résumer le document piégé, l'agent ingère à son insu les instructions cachées de l'attaquant en même temps que le contenu légitime.
  3. La collecte de données : Le prompt malveillant ordonne à l'agent de rechercher certains fichiers sensibles (par exemple, des dossiers financiers, des clés d'API ou des données RH) en utilisant Microsoft Graph, forçant le système à générer des liens de téléchargement pré-authentifiés.
  4. L'exfiltration "Zero-Click" : L'agent a pour instruction d'envoyer un message à l'utilisateur via Teams ou Outlook. Le point crucial de l'attaque réside dans le fait que le prompt dicte à l'agent de formater le message en Markdown ou HTML pour y intégrer une balise <img> invisible. L'attribut src de cette balise pointe vers le serveur externe de l'attaquant, avec les liens de téléchargement pré-authentifiés ajoutés en tant que paramètres d'URL.

Lorsque l'utilisateur ouvre le message — une action qui ne nécessite aucune autre interaction que la simple consultation de sa propre messagerie ou boîte de réception —, son client tente d'afficher l'image invisible. Cela déclenche silencieusement une requête web, envoyant les liens de téléchargement sensibles directement à l'attaquant.

#Pourquoi c'est important : des permissions étendues face à des garde-fous défaillants

Les implications de cette vulnérabilité vont bien au-delà d'une attaque de phishing classique ou d'une fuite de données habituelle. Elle met en évidence de profonds problèmes structurels dans la façon dont les agents IA gèrent les permissions et les limites de confiance au sein des environnements d'entreprise.

  • Héritage total des permissions : Copilot Cowork fonctionne avec l'intégralité des permissions Microsoft Graph de l'utilisateur actif. Si une organisation souffre de « sur-partage » (lorsque les permissions internes sur SharePoint ou OneDrive sont trop permissives), l'agent se transforme en un multiplicateur de force dévastateur. Il peut instantanément découvrir et exfiltrer des données auxquelles l'utilisateur ignorait lui-même avoir accès.
  • Exécution "Zero-Click" : Les formations traditionnelles de sensibilisation à la sécurité insistent lourdement sur l'importance de ne pas cliquer sur des liens suspects. Dans ce scénario, le simple fait d'ouvrir un message Teams généré par son propre assistant IA d'entreprise déclenche l'exfiltration. L'utilisateur n'a aucun lien malveillant à éviter.
  • Contournement des contrôles DLP : Étant donné que le mouvement initial des données est entièrement interne (Copilot interagit avec Microsoft Graph et envoie un message en interne à l'utilisateur), il y a peu de chances que les outils classiques de prévention des pertes de données (DLP) surveillant le trafic sortant de l'entreprise détectent l'anomalie. Le comportement ne sera visible qu'au moment de la requête web finale et offusquée, générée par le chargement de l'image.

#Implications techniques : au-delà du simple LLM

L'une des conclusions techniques les plus fascinantes de la publication de PromptArmor est que cet exploit est fondamentalement indépendant du modèle. Bien que la recherche ait démontré l'attaque en utilisant Claude Opus 4.7 (qui propulse la préversion de la fonctionnalité Copilot Cowork), la faille sous-jacente n'est ni une hallucination de l'IA ni un contournement des barrières de sécurité du modèle. Il s'agit d'une faille logique d'architecture tout à fait classique, mais exacerbée par les capacités de l'IA.

Composant de l'attaqueMécanisme techniqueType de vulnérabilité
IngestionDéfaut d'assainissement du contenu externe lors de la génération augmentée par la recherche (RAG).Injection de prompt indirecte
ExécutionContournement des contrôles d'autorisation et d'approbation pour les messages adressés à soi-même.Faille de logique métier (Business Logic Bypass)
ExfiltrationDétournement du rendu côté client d'actifs externes au sein des applications de communication internes.SSRF Zero-Click / Exfiltration de données

Cela démontre que la sécurisation des systèmes agentiques exige bien plus qu'un simple fine-tuning du LLM pour l'obliger à refuser des prompts malveillants. Elle nécessite une ingénierie système robuste, une séparation contextuelle stricte des entrées de données, ainsi qu'une validation Zero Trust appliquée aux mécanismes de sortie de l'agent.

#Et maintenant ? Comment atténuer les risques liés aux agents

Pour les développeurs et les administrateurs informatiques utilisant Microsoft 365 ou concevant leurs propres agents IA internes, cet incident trace une feuille de route claire des mesures d'atténuation nécessaires.

  • Restreindre la découverte de contenu : Les entreprises doivent gérer de manière stricte les permissions sur SharePoint et OneDrive. Les équipes de sécurité devraient exploiter les paramètres de leur tenant pour exclure les sites hautement sensibles de l'index de recherche de Copilot, limitant ainsi le périmètre d'impact d'un agent compromis.
  • Mettre en place des stratégies de blocage des téléchargements : En configurant les politiques SharePoint pour bloquer les téléchargements sur certaines bibliothèques sensibles, les organisations peuvent empêcher l'API Graph de générer les liens pré-authentifiés nécessaires à cette technique d'exfiltration.
  • Assainir les sorties Markdown et HTML : Les développeurs d'applications concevant des clients IA doivent traiter les sorties du LLM comme des entrées utilisateur non fiables. Les moteurs de rendu doivent assainir rigoureusement, voire bloquer purement et simplement, le chargement d'éléments externes (comme les images distantes) dans les messages générés par les agents.
  • Imposer un véritable Human-in-the-Loop : Les actions de l'agent qui déclenchent des changements d'état ou des requêtes réseau doivent requérir une confirmation explicite de l'utilisateur, peu importe que le destinataire soit interne, externe ou l'utilisateur lui-même.

#Conclusion

La vulnérabilité de Microsoft Copilot Cowork mise au jour par PromptArmor marque un tournant décisif dans l'histoire de la sécurité de l'IA. À mesure que nous passons de systèmes qui se contentent de répondre à nos questions vers des systèmes autonomes agissant sur l'ensemble de notre espace de travail numérique, la complexité de sécurisation de ces flux de travail augmente de façon dramatique. Adopter des agents d'IA implique de repenser fondamentalement nos frontières de confiance, en partant du principe que nos sources de données sont hostiles et que nos assistants IA sont intrinsèquement crédules. La sécurisation de l'avenir du travail exige une vigilance de tous les instants, une hygiène irréprochable des permissions et une approche Zero Trust sans concession face aux intégrations de l'intelligence artificielle.