Un assistant IA capable de consulter des messages strictement privés. C’est le problème que vient de reconnaître Microsoft après la découverte d’une faille sérieuse dans Copilot. Pendant plusieurs semaines, l’outil aurait accédé à des e-mails confidentiels stockés dans des dossiers protégés. Un incident qui relance le débat sur la sécurité des données au sein de Microsoft 365.
Un accès non autorisé aux dossiers « Éléments envoyés » et « Brouillons »
Le géant technologique Microsoft a confirmé l’existence d’un problème de sécurité touchant Microsoft Copilot, son assistant d’intelligence artificielle intégré à Microsoft 365. D’après les signalements d’utilisateurs apparus il y a environ un mois, l’outil pouvait lire et résumer des e-mails auxquels il ne devait pas avoir accès.
La faille concernait notamment les dossiers « Éléments envoyés » et « Brouillons ». Plus inquiétant encore, des messages marqués comme confidentiels ont également été concernés. Autrement dit, des contenus sensibles pouvaient être analysés par l’IA sans autorisation explicite.
Les politiques DLP contournées à cause d’une erreur de code
Selon les informations relayées par PhoneArena, la vulnérabilité ne se limitait pas à de simples erreurs d’affichage. Elle affectait aussi les environnements où des politiques DLP (Data Loss Prevention) étaient activées.
Ces mécanismes sont censés empêcher le traitement ou le partage de données sensibles par des outils automatisés, notamment les systèmes d’intelligence artificielle. Or, en raison d’un bug dans le code, ces protections ont été contournées. Des e-mails pourtant protégés pouvaient être lus et résumés par Copilot.
L’incident a été enregistré sous la référence CW1226324. Microsoft précise que l’enquête interne se poursuit afin d’évaluer précisément l’ampleur du problème.
Un correctif en cours de déploiement progressif
L’entreprise indique avoir identifié l’origine de la faille et développé un correctif. Celui-ci est actuellement déployé progressivement auprès d’un nombre limité d’utilisateurs avant une diffusion plus large.
Les administrateurs informatiques sont invités à surveiller les mises à jour liées à la référence CW1226324 et à vérifier toute activité inhabituelle concernant l’accès de Copilot à des contenus sensibles.
L’intégration de l’intelligence artificielle dans des outils professionnels comme Word, Excel, PowerPoint, Outlook ou OneNote promet des gains de productivité importants. Cette affaire rappelle pourtant qu’un simple bug peut suffire à fragiliser la confidentialité des données dans des environnements utilisés quotidiennement par des millions d’entreprises.
