EchoLeak est une faille de sécurité dans Microsoft 365 Copilot qui permettait aux pirates d'accéder à des données sensibles de l'entreprise. Aucune action de l'utilisateur de Copilot n'était nécessaire. Au contraire, une instruction malveillante a été glissée dans un e-mail que la victime n'a eu qu'à recevoir pour être exposée au problème de sécurité.
Introduction
Le copilote de Microsoft est une intelligence artificielle générale qui apparaît utile dans certains aspects, mais doit souvent être considérée comme un échec. Un simple test avec une tâche très simple a révélé l'échec flagrant du Copilote sur le plan fonctionnel.
Il est connu que Microsoft collecte les données de ses clients à grande échelle, sans s'en faire honte. Au contraire, Microsoft fait même cette démarche publique (probablement pour des raisons juridiques).
La grande menace qui pèse sur les entreprises et les utilisateurs privés de Copilot est relativement nouvelle. Copilot accède à presque tous les données des ordinateurs sur lesquels il est installé. À travers la plateforme Microsoft 365, dans laquelle Copilot est "intégré sans heurts", les données sont envoyées dans le monde entier, par exemple via l'application Teams.
EchoLeak a exploité cette situation avec habileté. Un utilisateur de Copilot n'avait pas besoin d'effectuer une erreur pour être touché. Il suffisait d'être un utilisateur de Copilot pour être attaqué et subir des pertes de données. Microsoft a étouffé la faille de sécurité en silence et l'a refermée quatre mois après le signalement grâce à un "dénommateur".
Qu'est-ce que EchoLeak ?
EchoLeak est une Faille de sécurité Zero-Click. Cela signifie: Vous êtes les victimes, même si vous n'avez rien fait de mal et que vous n'avez cliqué nulle part où vous ne deviez pas cliquer. La faute n'est pas à vous, mais à Microsoft 365 Copilot.
La conséquence d'EchoLeak est l'exfiltration de données de votre système. Cette exfiltration permet à des personnes non autorisées d'obtenir vos données, à cause de Copilot et du formidable écosystème de Microsoft 365. Aucune interaction de l'utilisateur n'est nécessaire pour que l'attaquant réussisse.
Les systèmes Microsoft 365 Copilot dans toutes les configurations étaient concernés. L'accès aux données était possible via Word, Excel, PowerPoint, Outlook, Teams, les sites SharePoint, le contenu OneDrive et Microsoft Graph.
Analyse technique
L'attaque EchoLeak a réussi parce que le modèle linguistique de Copilot (LLM) n'a pas fonctionné de manière suffisamment limitée. Au contraire, toutes sortes de données provenant d'ordinateurs de travail sur lesquels fonctionnait Copilot ont tout simplement été introduites dans l'IA de Microsoft et analysées. Ainsi, des données internes fiables ont été mélangées à des entrées externes non fiables dans le même "processus de réflexion".
Ainsi, un courriel (même un spam) reçu par un attaquant pouvait amener Copilot à accéder à des données internes et à transmettre ces données à l'attaquant.
Il existe une base de données dans laquelle sont listées les failles de sécurité des produits logiciels pertinents. Cela s'appelle CVE (Common Vulnerabilities and Exposures). Chaque faille de sécurité est évaluée en fonction de sa gravité. 10 est la valeur maximale.
La vulnérabilité de Microsoft 365 Copilot appelée EchoLeak a obtenu un score de 9,3, ce qui montre à quel point le problème que Microsoft a passé sous silence était critique.
Même si Microsoft avait informé tous ses clients, l'action de Microsoft resterait très discutable. Le simple fait que le problème existe est un signe de l'étrange conception que Microsoft a de la protection et de la sécurité des données. L'accès complet à toutes les données d'un système ne devrait au moins pas se faire par défaut. Peut-être qu'une demande en bonne et due forme, transparente et facilement compréhensible auprès des clients dépendants de Microsoft aurait été préférable ?
Que Microsoft ait travaillé sur ce problème pendant tout un quatre mois, jusqu'à ce qu'il soit espéré résolu, montre une autre facette de la catastrophe. Microsoft ne peut ou ne veut pas résoudre rapidement des failles de sécurité extrêmement importantes qui peuvent mettre en danger l'existence d'entreprises.
Résumé
On peut désactiver Copilot. Cela serait pour de nombreux utilisateurs la meilleure chose à faire. Il existe d'autres et surtout meilleurs systèmes, qui sont beaucoup plus sûrs et également fonctionnellement meilleurs.
Beaucoup d'états et de pays partent vers l'extérieur de Microsoft. La commodité leur fait obstacle à beaucoup. Mais il y en a de plus en plus qui reconnaissent la dangerosité structurelle des produits Cloud de Microsoft.
De nos jours, il est non seulement possible d'acheter de superbes produits cloud dans son propre pays, mais aussi de les développer avec beaucoup moins d'efforts qu'auparavant. Par rapport à il y a trois ans, l'effort devrait être divisé par dix.
À l'avenir, il n'y aura certainement plus de problèmes de sécurité avec les produits Microsoft. C'est promis !
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
