SearchLeak : la faille silencieuse qui a transformé Microsoft 365 Copilot en mouchard

Il a fallu attendre que trois vulnérabilités prises isolément, et plutôt banales, se rencontrent pour donner naissance à l’une des failles les plus sérieuses jamais documentées sur un assistant IA d’entreprise.

Baptisée SearchLeak et révélée le 15 juin 2026 par le chercheur Dolev Taler de Varonis Threat Labs, l’attaque cible Microsoft 365 Copilot Enterprise et a obtenu de l’entreprise américaine sa note de gravité maximale avant d’être corrigée.

Elle est désormais référencée sous l’identifiant CVE-2026-42824.

Le paramètre q, l’élément déclencheur

Le point d’entrée est un détail d’ergonomie, déjà documenté dans d’autres attaques manipulant les chatbots IA : la fonction de recherche de Copilot accepte un paramètre « q » dans son URL, destiné à pré-remplir une requête en langage naturel.

Sauf que ce paramètre n’est pas traité comme un simple texte à afficher, mais comme une instruction à exécuter par le moteur IA. Un lien pointant vers un domaine microsoft.com authentique peut donc transporter, en réalité, un ordre adressé à Copilot : fouiller la boîte mail de la victime, récupérer une information sensible comme un titre d’email ou un code MFA, et l’insérer dans une fausse balise image dont l’attaquant a préparé le modèle d’avance. Comme le lien reste hébergé chez Microsoft, les filtres anti-phishing classiques ne voient rien d’anormal.

Cette première étape ne suffit toutefois pas à voler les données. Encore faut-il les faire sortir de l’environnement Microsoft. C’est là qu’intervient la seconde faiblesse.

Deux autre faiblesses combinées pour créer une faille

Pour éviter que des réponses générées par l’IA ne contiennent du code dangereux, Microsoft applique un mécanisme de protection qui transforme les balises HTML en simple texte. Sur le papier, une balise permettant de charger une image externe ne devrait donc jamais être exécutée par le navigateur.

Dans la pratique, les chercheurs ont observé un problème de synchronisation. Pendant que Copilot rédige progressivement sa réponse à l’écran, le navigateur commence déjà à interpréter certains éléments HTML avant que le mécanisme de protection n’entre en action. Une balise d’image peut ainsi être détectée et exécutée quelques fractions de seconde avant d’être neutralisée. Cette courte fenêtre temporelle suffit à déclencher une requête vers une adresse contrôlée par l’attaquant.

Reste un dernier obstacle : la politique de sécurité du contenu mise en place par Microsoft. Celle-ci interdit normalement à une page Microsoft de charger des ressources provenant d’un domaine inconnu. Une requête directe vers le serveur de l’attaquant serait donc bloquée et les chercheurs ont alors trouvé un détour inattendu : Bing.

Le moteur de recherche de Microsoft dispose d’une fonction permettant d’analyser une image à partir d’une URL. Comme Bing figure naturellement parmi les domaines autorisés par Microsoft 365, une requête vers ce service n’est pas bloquée. L’astuce consiste à intégrer les données volées dans une URL transmise à Bing. Le moteur de recherche tente ensuite de récupérer l’image depuis le serveur de l’attaquant afin de l’analyser.

Résultat, ce n’est plus le navigateur de la victime qui contacte directement l’attaquant, mais l’infrastructure de Bing elle-même. Les informations sensibles se retrouvent alors dans les journaux du serveur distant, où elles peuvent être récupérées discrètement.

Un attaquant qui hérite des droits de sa victime

Concrètement, il suffit qu’un utilisateur clique sur un lien reçu par email, sur Teams ou ailleurs pour déclencher toute la chaîne, sans authentification ni privilège particulier côté attaquant. Comme Copilot Enterprise opère avec les pleins droits d’accès de l’utilisateur connecté, l’attaquant récupère de fait l’accès à tout ce que la victime peut consulter dans l’organisation : emails contenant des codes de sécurité, détails de réunions, documents SharePoint ou OneDrive, voire des informations sensibles comme des plans de rachat ou des données salariales.

Microsoft a déployé un correctif entièrement côté serveur, sans action requise des utilisateurs et aucune exploitation dans la nature de cette faille n’a pour l’heure été constatée.

Varonis recommande toutefois aux équipes de sécurité de surveiller les paramètres « q » suspects et de traiter tout flux généré par une IA comme non fiable.

Tout le monde n'a pas les moyens de payer pour l'information. C'est pourquoi nous maintenons notre journalisme ouvert à tous.