Microsoft 365 Copilot : une faille Mermaid permettait d’exfiltrer des e-mails

La sécurité des services d’intelligence artificielle reste une préoccupation pour les DSI et les RSSI. Des chercheurs identifient régulièrement de nouvelles brèches : la dernière découverte concerne Microsoft 365 Copilot et l’utilisation de diagrammes Mermaid pour exfiltrer des données.

Résumé de la vulnérabilité

Le chercheur Adam Logue a montré qu’un document Office spécialement conçu pouvait contenir des instructions cachées. Lorsqu’il était analysé par Copilot, ces invites détournaient l’assistant et l’obligeaient à récupérer des courriels récents de l’entreprise via un outil interne appelé  » search-enterprise_emails « . Ces données étaient ensuite encodées en hexadécimal, segmentées en blocs de 30 caractères et intégrées dans un diagramme Mermaid.

Ce diagramme, affiché comme un élément cliquable ressemblant à un bouton de connexion, contenait un hyperlien pointant vers un serveur contrôlé par l’attaquant. Si un utilisateur cliquait, les données encodées étaient envoyées au serveur malveillant.

Chaîne d’attaque (preuve de concept)

• Création d’un document Office apparemment inoffensif (par exemple, une feuille Excel) avec du contenu visible et des instructions cachées (texte blanc) sur un autre onglet.
• Ces instructions détournent Copilot de sa tâche de synthèse et lui ordonnent d’appeler  » search-enterprise_emails  » pour extraire des e-mails récents.
• Les e-mails récupérés sont encodés en hexadécimal, découpés en blocs et intégrés dans un diagramme Mermaid contenant un lien malveillant.
• Un clic sur le diagramme transfère les données vers un serveur contrôlé par l’attaquant.

Dans sa démonstration, Adam Logue a notamment réussi à dissimuler ces instructions dans des fiches financières et à amener Copilot à requérir une  » connexion  » pour accéder au contenu, redirigeant ainsi l’utilisateur vers l’infrastructure de l’attaquant.

Pourquoi c’est préoccupant

Cette attaque dépasse la simple injection de prompt directe (où un utilisateur saisit des instructions malveillantes). Ici, les commandes sont cachées dans le contenu d’un document et transmises à l’assistant à l’insu de l’utilisateur. La fonctionnalité de génération de diagrammes devient en outre un canal d’exfiltration : les diagrammes Mermaid supportent le CSS et des liens cliquables, ce qui permet d’inclure et de transmettre des données récupérées par Copilot.

Le transfert s’opère via une requête web standard, difficile à distinguer d’une interaction légitime dans de nombreux environnements. Des incidents récents montrent une augmentation des attaques par injection indirecte, où des macros cachées ou des commentaires intégrés détournent des flux basés sur l’IA pour extraire des données sans action manifeste de l’utilisateur.

Correction et recommandations

Microsoft a corrigé la faille en supprimant la possibilité d’utiliser des hyperliens interactifs dans les diagrammes Mermaid au sein des chats Copilot. Selon le chercheur, cette mesure  » réduit efficacement le risque d’exfiltration de données « .

• Vérifier les mises à jour et correctifs fournis par les éditeurs (ici, Microsoft).
• Limiter les fonctionnalités interactives dans les sorties générées automatiquement par des assistants IA.
• Sensibiliser les utilisateurs aux documents potentiellement manipulés et aux éléments cliquables dans des contenus générés par IA.
• Mettre en place des contrôles et des audits sur les appels internes d’extraction de données (par ex.  » search-enterprise_emails « ).

Cette affaire illustre la montée en complexité des vecteurs d’attaque autour des assistants IA : au-delà des prompts visibles, il faut désormais surveiller le contenu caché, les sorties visuelles et les composants tiers susceptibles de servir de canal d’exfiltration.