Vulnérabilité de sécurité de Microsoft Copilot : nouvel avertissement concernant les risques de fuite de données liées à l’IA

Avec l'intégration de l'intelligence artificielle (IA) dans tous les métiers, de la rédaction de rapports à l'analyse de données en passant par la réponse aux courriels, les utilisateurs semblent vivre dans une ère de confort sans précédent. Mais le revers de la médaille commence également à se manifester, notamment en matière de sécurité.

Une récente faille de sécurité baptisée EchoLeak expose les utilisateurs du service Microsoft Copilot à un risque de fuite de leurs données sensibles sans qu'ils aient à intervenir.

Quand l'IA devient une vulnérabilité de sécurité

Selon les recherches de Tuoi Tre Online , EchoLeak est une vulnérabilité de sécurité qui vient d'être enregistrée sous le code CVE-2025-32711, que les experts ont classée comme dangereuse à 9,3/10 selon l'échelle du NIST.

Ce qui inquiète les experts en sécurité, c'est son caractère « zéro clic » : les attaquants peuvent exploiter les données de Copilot sans que l'utilisateur ait à cliquer, à ouvrir un fichier, ni même à se rendre compte de ce qui se passe.

Il ne s'agit pas d'un simple bug. L'équipe de recherche d'Aim Labs, qui a découvert la vulnérabilité, estime qu'EchoLeak révèle un défaut de conception courant dans les systèmes d'IA à base d'agents et de génération augmentée par récupération (RAG). Étant donné que Copilot fait partie de la suite d'applications Microsoft 365 qui héberge les courriels, documents, feuilles de calcul et agendas de réunions de millions d'utilisateurs, le risque de fuite de données est très sérieux.

Le problème ne réside pas seulement dans le code lui-même, mais aussi dans le fonctionnement des grands modèles de langage (GML). Les IA ont besoin de beaucoup de contexte pour répondre avec précision et ont donc accès à d'importantes quantités de données de base. Sans contrôle clair des entrées et des sorties, les IA peuvent être manipulées à l'insu des utilisateurs. Cela crée une nouvelle forme de faille de sécurité, non pas à cause d'un défaut du code, mais parce que les IA se comportent de manière incompréhensible pour l'humain.

Microsoft a rapidement publié un correctif et aucun dommage concret n'a été signalé à ce jour. Cependant, la leçon d'EchoLeak est claire : lorsque l'IA est profondément intégrée aux systèmes opérationnels, même de petites erreurs dans sa compréhension du contexte peuvent avoir des conséquences majeures en matière de sécurité.

Plus l'IA est pratique, plus les données personnelles sont fragiles.

L’incident EchoLeak soulève une question inquiétante : les utilisateurs font-ils tellement confiance à l’IA qu’ils ne réalisent pas qu’ils peuvent être suivis à la trace ou que leurs informations personnelles peuvent être divulguées par un simple SMS ? Une vulnérabilité récemment découverte, qui permet aux pirates d’extraire silencieusement des données sans que les utilisateurs n’aient à appuyer sur aucun bouton, relevait autrefois de la science-fiction, mais est désormais une réalité.

Alors que les applications d'IA sont de plus en plus populaires, des assistants virtuels comme Copilot aux chatbots dans le secteur bancaire et l'éducation , en passant par les plateformes d'IA qui rédigent du contenu et traitent les courriels, la plupart des gens ne sont pas avertis de la manière dont leurs données sont traitées et stockées.

« Discuter » avec un système d'IA ne se limite plus à poser quelques questions par commodité, mais peut aussi révéler par inadvertance votre localisation, vos habitudes, vos émotions, voire même des informations sur votre compte.

Au Vietnam, nombreux sont ceux qui utilisent l'IA sur leurs téléphones et ordinateurs sans posséder de connaissances de base en sécurité numérique . Beaucoup partagent des informations privées avec l'IA, la considérant comme une simple machine. Or, il s'agit en réalité d'un système capable d'enregistrer, d'apprendre et de transmettre des données, notamment lorsque la plateforme d'IA provient d'un tiers et n'a pas fait l'objet de tests de sécurité rigoureux.

Pour limiter les risques, les utilisateurs n'ont pas forcément à renoncer à la technologie, mais doivent être plus vigilants : ils doivent vérifier attentivement si l'application d'IA qu'ils utilisent provient d'une source fiable, si les données sont cryptées et, surtout, ne pas partager d'informations sensibles telles que des numéros d'identification, des coordonnées bancaires, des informations de santé… avec un système d'IA sans avoir été clairement avertis.

Tout comme lors des débuts d'Internet, l'IA a elle aussi besoin de temps pour se perfectionner et, pendant ce temps, les utilisateurs devraient être les premiers à se protéger de manière proactive.