L'attaque d'IA sans clic EchoLeak dans Microsoft Copilot expose les données de l'entreprise

La société de cybersécurité Aim Labs a découvert un nouveau problème de sécurité majeur, baptisé EchoLeak, affectant Microsoft 365 (M365) Copilot , un assistant IA populaire. Cette faille est une vulnérabilité « zero click », permettant aux attaquants de voler des informations sensibles de l'entreprise sans interaction avec l'utilisateur.

Aim Labs a partagé les détails de cette vulnérabilité et la manière dont elle peut être exploitée avec l'équipe de sécurité de Microsoft, et jusqu'à présent, il n'a connaissance d'aucun client affecté par cette nouvelle menace.

Pour information, M365 Copilot est un chatbot basé sur RAG. Il collecte donc des informations provenant de l'environnement professionnel de l'utilisateur, comme ses e-mails, ses fichiers OneDrive, ses sites SharePoint et ses conversations Teams, pour répondre à ses questions. Bien que Copilot soit conçu pour accéder uniquement aux fichiers pour lesquels l'utilisateur a des autorisations, ces fichiers peuvent contenir des données d'entreprise privées ou secrètes.

Le principal problème d'EchoLeak réside dans un nouveau type d'attaque, qu'Aim Labs appelle « violation de portée LLM ». Ce phénomène se produit lorsque les instructions d'un attaquant, envoyées par e-mail non fiable, amènent l'IA (le modèle de langage large, ou LLM) à accéder par erreur à des données privées d'entreprise. L'IA enfreint ainsi ses propres règles concernant les informations qu'elle est autorisée à consulter. Aim Labs décrit ce phénomène comme un « e-mail non privilégié » capable d'accéder à des données privilégiées.

L'attaque commence simplement lorsque la victime reçoit un e-mail, rédigé de manière astucieuse, qui ressemble à des instructions destinées à la personne qui le reçoit, et non à l'IA. Cette astuce lui permet de contourner les filtres de sécurité de Microsoft, appelés classificateurs XPIA, qui bloquent les instructions malveillantes de l'IA. Une fois l'e-mail lu par Copilot, il peut être piégé et transmettre des informations sensibles hors du réseau de l'entreprise.

Aim Labs a expliqué que pour récupérer les données, il leur fallait trouver des moyens de contourner les défenses de Copilot, notamment ses tentatives de masquage des liens externes et de contrôle des données pouvant être envoyées. Ils ont trouvé des méthodes astucieuses, utilisant la gestion des liens et des images, et même la gestion des URL par SharePoint et Microsoft Teams, pour envoyer secrètement des données au serveur de l'attaquant. Par exemple, ils ont trouvé un moyen d'utiliser une URL Microsoft Teams spécifique pour récupérer des informations confidentielles sans aucune intervention de l'utilisateur.

Cette découverte démontre que de nombreux chatbots et agents IA présentent des problèmes de conception généraux. Contrairement aux recherches précédentes, Aim Labs a démontré une méthode pratique pour utiliser cette attaque afin de voler des données très sensibles. L'attaque ne nécessite même pas que l'utilisateur engage une conversation avec Copilot.

Aim Labs a également évoqué la pulvérisation RAG permettant aux attaquants de détecter plus souvent leurs e-mails malveillants par Copilot, même lorsque les utilisateurs posent des questions sur des sujets différents. L'envoi d'e-mails très longs et fragmentés en plusieurs parties augmente les chances qu'un seul élément soit pertinent pour la requête de l'utilisateur. Pour l'instant, les organisations utilisant M365 Copilot doivent être conscientes de ce nouveau type de menace.

Ensar Seker , RSSI chez SOCRadar, prévient que les découvertes d'EchoLeak d'Aim Labs révèlent une faille majeure en matière de sécurité de l'IA. L'exploit montre comment des attaquants peuvent exfiltrer des données de Microsoft 365 Copilot par simple e-mail, sans aucune interaction de l'utilisateur. En contournant les filtres et en exploitant les violations de portée LLM, il met en évidence des risques plus profonds dans la conception des agents d'IA.

Seker exhorte les organisations à traiter les assistants IA comme des infrastructures critiques, à appliquer des contrôles d'entrée plus stricts et à désactiver des fonctionnalités telles que l'ingestion de courriers électroniques externes pour éviter les abus.