Varonis Threat Labs a dévoilé une vulnérabilité critique dans Microsoft 365 Copilot Enterprise, baptisée SearchLeak et répertoriée sous CVE-2026-42824, qui a récolté la cote de sévérité maximale de Microsoft. Un seul clic sur un lien hébergé sur un domaine microsoft.com légitime pouvait exfiltrer en silence des données d'entreprise sensibles, dont des codes d'authentification multifacteur, le contenu de courriels, des détails d'agenda et des fichiers confidentiels, sans aucune autre interaction de l'usager. Microsoft a entièrement corrigé la faille côté serveur, de sorte qu'aucune action n'est requise des utilisateurs, et le chercheur qui l'a découverte, Dolev Taler de Varonis, a rendu l'affaire publique le 15 juin.
Ce qui rend SearchLeak remarquable, ce n'est pas seulement sa gravité, mais son anatomie. L'attaque enchaîne trois faiblesses distinctes en un seul parcours fluide : une injection Parameter-to-Prompt qui glisse les instructions de l'attaquant dans l'invite de Copilot, une situation de course au rendu HTML et un contournement de la Content Security Policy qui détourne une server-side request forgery de Bing pour expédier les données dérobées. En clair, l'attaquant cache des instructions là où l'assistant IA va les lire et y obéir, puis se sert des couches de rendu et de réseau pour emporter les données. Comme le lien malveillant réside sur un véritable domaine microsoft.com, les outils antihameçonnage et les filtres d'URL classiques ne le signalent jamais.
SearchLeak est un cas d'école du mode de défaillance contre lequel les chercheurs en sécurité mettent en garde depuis le début de l'année. Il s'agit d'un assistant IA ayant accès à des données privées, exposé à du contenu non fiable et raccordé à un canal externe capable de faire sortir l'information, exactement la combinaison que l'OWASP a récemment décrite comme la triade mortelle de l'injection d'invite. La différence, ici, c'est que ce n'est pas une expérience de pensée : quelqu'un a bâti la chaîne complète et transformé un assistant de productivité en arme d'exfiltration à un seul clic. À mesure que les entreprises accordent aux assistants IA un accès toujours plus profond aux courriels, aux agendas et aux fichiers, la surface d'attaque cesse de se limiter au modèle pour devenir le modèle plus tout ce qu'il a le droit de lire et tous les endroits qu'il a le droit d'atteindre.
Le côté rassurant, c'est que celle-ci est corrigée, qu'elle a été repérée par des chercheurs plutôt que par des attaquants, et colmatée côté serveur sans que les usagers aient à lever le petit doigt ; la divulgation responsable a fonctionné comme prévu. Le côté moins rassurant, c'est la tendance. L'injection d'invite indirecte se révèle sans cesse être une catégorie de bogue réelle et exploitable plutôt qu'une hypothèse, et chaque nouvelle occurrence est plus soignée que la précédente. Les défenses qui tiennent la route sont structurelles (empêcher le contenu non fiable, les données privées et les canaux sortants de se rencontrer dans un même contexte) plutôt que d'essayer d'apprendre à un modèle à reconnaître chaque instruction malveillante. SearchLeak est une donnée de plus qui montre que le problème de sécurité de l'IA agentique ne tient pas vraiment au modèle qui dérape de lui-même, mais à ce qu'un attaquant déterminé peut lui faire faire.