Une vulnérabilité de sécurité critique baptisée EchoLeak a récemment été découverte au sein de Microsoft 365 Copilot, l’assistant IA intégré aux applications Office comme Word, Excel, Outlook et Teams. Révélée par la startup Aim Security, cette faille marque un tournant dans la cybersécurité : il s’agit de la première attaque “zéro-clic” connue ciblant un agent IA.

EchoLeak (CVE-2025-32711, score CVSS de 9.3) permettait à un attaquant distant d’accéder à des données sensibles d’une organisation sans aucune action de la victime. Il suffisait d’envoyer un courriel contenant une instruction dissimulée (sous forme Markdown, par exemple), que Copilot traitait de manière automatique via son moteur de récupération de contenu (RAG). Copilot combinait ensuite des données internes sensibles (OneDrive, SharePoint, Outlook, Teams…) avec des entrées non fiables, provoquant une fuite de données vers l’attaquant.

L’attaque reposait sur une violation du périmètre de l’IA (LLM Scope Violation), une faille de conception dans laquelle un modèle est amené à traiter des instructions externes comme si elles étaient internes et de confiance. Cela a permis à l’IA de devenir son propre vecteur d’attaque, exfiltrant d’elle-même les données qu’elle était censée protéger.

La firme de Redmond alertée par Aim Security dès janvier 202B, a mis... cinq mois à corriger totalement la faille. Dans un communiqué, l’entreprise affirme que le problème a été corrigé et qu’aucune action n’est requise de la part des utilisateurs. Des mesures de sécurité supplémentaires (“defense-in-depth”) ont été ajoutées pour prévenir ce type d’attaque. 

Une approche de défense en profondeur qui repose sur la superposition de plusieurs mécanismes de sécurité à différents niveaux (réseau, application, données, comportement des modèles d’IA, etc.). L’objectif est,  que si une couche est compromise, les autres continuent de protéger le système. Cela inclut, par exemple, la validation des entrées, l’isolation des contextes de données, la surveillance des comportements anormaux et la journalisation des requêtes sensibles.

Si EchoLeak a été maîtrisée, les implications de cette faille sont alarmantes. 

Elle illustre un problème fondamental dans l’architecture des agents IA modernes : l'absence de séparation claire entre les données de confiance et les données potentiellement hostiles. Les agents IA comme Copilot mélangent du contenu interne, messages extérieurs et requêtes utilisateurs dans un même flux de traitement, ce qui est vulnérable par nature.

Comme l’a exprimé Adir Gruss, CTO d’Aim Security : « C’est le retour des vulnérabilités des années 90, mais cette fois dans des IA. » Le risque est que ce type d’attaque puisse être reproduit sur d’autres plateformes connectées à des assistants IA comme Anthropic, Salesforce Agentforce, ou toute solution intégrant le Model Context Protocol (MCP).

EchoLeak traduit le danger d’une confiance excessive (pour ne pas dire aveugle) dans des systèmes encore immatures et complexes. Les IA génératives actuelles n'ont aucune "conscience" des frontières entre instruction malveillante et données neutres. 

Elles sont programmées pour obéir, pas pour raisonner en matière de sécurité. Cette "obéissance" aveugle en fait des cibles faciles, voire des complices involontaires.

Le parallèle avec les débuts d’Internet est frappant : les premiers navigateurs ou OS étaient vulnérables car ils supposaient que tout code était fiable. Aujourd’hui, nous sommes face à des agents autonomes qui interagissent avec des systèmes critiques sans maturité suffisante dans leurs mécanismes de défense.

Selon Aim Security, il est urgent de repenser la manière dont les agents IA sont construits. L’intégration de mécanismes de séparation entre instructions et données, de garde-fous contextuels et d’une gouvernance fine des autorisations parait essentielle.

Tant que cela n’est pas fait, des entreprises hésiteront à adopter massivement ces nouvelles technologies. 

EchoLeak est bien plus qu’une simple faille technique. C’est un signal d’alarme sur l’immaturité des agents IA dans le monde professionnel. 

Si les IA deviennent les nouveaux OS du XXIe siècle, il est impératif d’y appliquer le même niveau de rigueur, d’auditabilité et de résilience que pour les logiciels critiques. En attendant, les entreprises doivent avancer avec prudence, conscientes des risques… et exigeantes envers les fournisseurs d’IA.