Échec de la sécurité de Microsoft Copilot : une chronologie de la confiance rompue
Pour la deuxième fois en huit mois, Microsoft Copilot, l'assistant IA phare de Microsoft, a été surpris en train de contourner les protocoles de sécurité mêmes conçus pour sécuriser son adoption en entreprise. Un bug critique actif tout au long du début de l'année 2026 a permis à l'IA de lire, de résumer et de faire remonter des e-mails explicitement marqués comme « Confidentiels », contournant les politiques de prévention des fuites de données (Data Loss Prevention, DLP) et exposant des données sensibles au sein d'organisations majeures, notamment le Service National de Santé (NHS) du Royaume-Uni.
Ce dernier incident, qui a laissé des dossiers sensibles vulnérables pendant près de quatre semaines, n'est pas un dysfonctionnement isolé. Il fait suite à une grave vulnérabilité découverte en juin 2025, dépeignant l'image préoccupante d'un « angle mort systémique » dans la pile de sécurité de l'IA moderne. Alors que les entreprises se précipitent pour déployer l'Intelligence Artificielle générative(Generative AI), ces échecs répétés soulèvent des questions urgentes : les cadres de sécurité hérités comme le DLP et les étiquettes de sensibilité(sensitivity labels) peuvent-ils réellement contenir les modèles de langage étendus (Large Language Models, LLMs) lors de l'exécution ?
L'incident de février 2026 : contournement de l'étiquette « Confidentiel »
Fin janvier 2026, un défaut au niveau du code dans Microsoft 365 Copilot a effectivement désactivé la « frontière de confiance » sur laquelle les organisations s'appuient pour protéger leurs communications les plus sensibles. Le bug, suivi par Microsoft sous la référence CW1226324, a permis à l'assistant IA d'accéder, de traiter et de résumer les e-mails stockés dans les dossiers « Éléments envoyés » et « Brouillons » des utilisateurs, même lorsque ces e-mails portaient des étiquettes de sensibilité restrictives telles que « Hautement confidentiel » ou étaient couverts par des politiques DLP actives.
En fonctionnement normal, les étiquettes de sensibilité agissent comme des panneaux numériques « entrée interdite » pour l'IA. Si un document est étiqueté « Confidentiel », Copilot est contractuellement et techniquement obligé de l'ignorer lors de son processus de génération augmentée par récupération (Retrieval-Augmented Generation, RAG). Cependant, pendant environ 28 jours — du 21 janvier au 19 février 2026 — ce mécanisme a échoué pour des dossiers Outlook spécifiques.
L'impact a été ressenti de manière aiguë dans les secteurs réglementés. Le NHS, qui gère de vastes quantités de données privées sur les patients, a signalé l'incident en interne sous la référence INC46740412. Pendant près d'un mois, le personnel utilisant Copilot pour des tâches administratives de routine aurait pu, par inadvertance, faire remonter des informations de santé protégées (Protected Health Information, PHI) ou des documents de stratégie interne qui étaient censés être invisibles pour le modèle d'IA.
Bien que Microsoft ait depuis déployé un correctif et déclaré que le bug « n'a permis à personne d'accéder à des informations auxquelles ils n'étaient pas déjà autorisés », cet échec mine la promesse centrale de la gouvernance de l'IA(AI governance) : à savoir que l'IA ne traitera pas les données qu'on lui a dit d'ignorer. Dans un contexte juridique ou de conformité, le simple traitement de données restreintes par un modèle d'IA — résumer un projet juridique privilégié ou un dossier de patient — peut constituer une violation de politique.
Un modèle de vulnérabilité : le précédent EchoLeak
L'échec de février 2026 est le deuxième coup dur porté à l'architecture de sécurité de Copilot en moins d'un an. Huit mois plus tôt, en juin 2025, des chercheurs ont dévoilé une vulnérabilité critique baptisée « EchoLeak » (CVE-2025-32711).
Contrairement au bug de février, qui était une défaillance fonctionnelle des étiquettes, EchoLeak était un exploit sophistiqué « zéro clic ». Il permettait à des attaquants d'intégrer des instructions cachées dans des e-mails d'apparence anodine. Lorsque Copilot traitait ces e-mails, les invites cachées « détournaient » la fenêtre de contexte de l'IA, la forçant à récupérer et à exfiltrer des données sensibles vers l'attaquant sans que l'utilisateur ne se rende compte d'une violation.
Ces deux incidents révèlent une réalité dangereuse : les contrôles de sécurité de Microsoft peinent à suivre le rythme de la nature complexe et non déterministe des LLMs.
Comparaison des récents échecs de sécurité de Copilot
| Nom de l'incident | Date d'activité | Cause racine | Mécanisme de défaillance |
|---|---|---|---|
| EchoLeak (CVE-2025-32711) | Juin 2025 | Violation de portée du LLM | L'injection d'invite malveillante a permis aux attaquants de détourner la récupération RAG et d'exfiltrer des données. |
| Contournement du DLP (CW1226324) | Jan - Fév 2026 | Défaut de code fonctionnel | Copilot a ignoré les étiquettes de sensibilité dans des dossiers Outlook spécifiques (Brouillons/Envoyés), résumant des données confidentielles. |
L'angle mort systémique : sécurité au moment de l'exécution vs sécurité statique
La récurrence de ces problèmes met en évidence un décalage fondamental entre la sécurité des données traditionnelle et le fonctionnement de l'IA générative.
Les outils hérités comme le DLP et les étiquettes de sensibilité sont conçus pour une protection statique ou transactionnelle. Ils posent des questions binaires : L'utilisateur A a-t-il la permission d'ouvrir le fichier B ? Cet e-mail contient-il un numéro de carte de crédit ?
Cependant, les Copilots d'IA fonctionnent de manière dynamique au moment de l'exécution (runtime). Ils utilisent le RAG pour analyser, récupérer et synthétiser des fragments d'informations provenant de milliers de documents en quelques millisecondes.
- L'écart de contexte : Comme on l'a vu lors de l'incident de février, si la logique de récupération de l'IA présente un bug, elle ignore simplement les balises de métadonnées (étiquettes) qui sont censées la bloquer.
- L'écart d'interprétation : Comme on l'a vu avec EchoLeak, l'IA peut être trompée en interprétant des données malveillantes comme une commande, contournant les pare-feu statiques qui ne recherchent que les signatures de logiciels malveillants.
Les experts en sécurité avertissent de plus en plus que « l'application de permissions » n'est plus suffisante. La couche d'IA elle-même nécessite un pare-feu dédié — un pare-feu qui valide non seulement qui accède aux données, mais aussi ce que l'IA en fait en temps réel.
Implications pour l'industrie : le déficit de confiance
Pour les DSI (CIOs) et les RSSI (CISOs), les implications de cette chronologie de « deux fois en huit mois » sont graves. L'exposition du NHS sert d'étude de cas puissante sur les risques liés à la dépendance aux contrôles de sécurité natifs du fournisseur pour les environnements à enjeux élevés.
Points clés à retenir pour les dirigeants d'entreprise :
- Vérification plutôt que confiance : Les organisations ne peuvent plus supposer que l'activation du « DLP » garantit la conformité de l'IA. L'audit indépendant et le « Red Teaming » des implémentations d'IA deviennent obligatoires.
- Assainissement des données : La faille des dossiers « Brouillons » et « Envoyés » suggère que l'hygiène des données est critique. Les vieux brouillons contiennent souvent des pensées non filtrées ou des données sensibles qui, si elles sont resurgies par l'IA, peuvent causer des dommages réputationnels.
- Préoccupations de souveraineté : Le Parlement européen et d'autres organismes gouvernementaux ayant précédemment suspendu les déploiements de Copilot en raison de préoccupations sur les données, ces échecs techniques valident l'approche de l'« IA souveraine(Sovereign AI) », où les données critiques sont physiquement isolées des LLMs à usage général.
Microsoft a pris des mesures pour corriger ces vulnérabilités, mais la fréquence de ces échecs de haut profil suggère que l'architecture de l'IA d'entreprise cherche encore ses marques. Tant que « l'angle mort » entre les permissions statiques et le traitement dynamique de l'IA ne sera pas comblé, les entreprises resteront à une mise à jour de leur prochaine exposition de données.
