Un chercheur a découvert un moyen pour exfiltrer des données sensibles depuis Copilot pour Microsoft 365. Il s’est servi d’une injection de prompt faisant appel à Mermaid un outil réalisant des diagrammes. Cette technique montre que la surface d’attaque sur les assistants IA s’élargit.
La sécurité des services IA reste toujours un préoccupation des DSI et des RSSI. Il faut dire que les chercheurs trouvent de plus en plus de brèches dans ces solutions. La dernière en date cible Microsoft 365 Copilot vulnérable à une injonction de prompt indirect à l’outil de Mermaid qui fournit des diagrammes. La faille a été trouvée par l’expert Adam Longue et peut être déclenché par des documents Office spécialement conçus et contenant des instructions cachées.
Une fois traitées par Copilot, ces invites obligeaient l’assistant à récupérer les courriels récents de l’entreprise, à les convertir en une chaîne codée en hexadécimal et à intégrer ces données dans un diagramme cliquable créé à l’aide Mermaid. « Lorsqu’un utilisateur cliquait sur ce qui semblait être un bouton « login » officiel dans le diagramme, les données codées étaient envoyées à un serveur contrôlé par le pirate », a détaillé M. Logue dans un article de blog. Microsoft a corrigé cette faille en supprimant la possibilité d’utiliser des hyperliens interactifs dans les diagrammes Mermaid au sein des chats Copilot. « La mesure réduit efficacement le risque d’exfiltration de données », a confirmé le spécialiste.
Une astuce pour la fuite de données
Pour sa démonstration, il a mis en place une chaîne d’attaque en plusieurs étapes, en commençant par un document Office apparemment inoffensif (par exemple, une feuille Excel) avec un contenu visible ainsi que des instructions cachées en texte blanc sur une deuxième feuille. Ces invites cachées détournent Copilot de sa tâche de synthèse initiale et lui ordonnent à la place d’appeler son outil interne « search-enterprise_emails » pour récupérer les courriels récents des cibles. Le contenu récupéré est ensuite codé en hexadécimal, divisé en blocs de 30 caractères (pour répondre aux contraintes de rendu) et intégré dans un diagramme créé via Mermaid qui ressemble à un « bouton de login » et contient un lien hypertexte pointant vers un serveur contrôlé par l’attaquant.
Adam Logue a pu démontrer dans une preuve de concept qu’il était possible de créer des fiches financières contenant des instructions spécialement conçues en texte blanc. Une exploitation réussie a conduit l’utilisateur à la connexion contrôlée par l’attaquant. « Lorsque j’ai demandé à M365 Copilot de résumer le document, il ne m’a plus indiqué qu’il s’agissait d’informations financières, mais m’a répondu que le document contenait des informations sensibles et ne pouvait être consulté sans autorisation appropriée ou connexion préalable », a déclaré l’expert.
Une menace qui dépasse celle de l’injection rapide
Cet incident souligne que le risque va au-delà d’une simple « injection rapide », où un utilisateur saisit directement des instructions malveillantes dans une IA. Ici, l’attaquant cache des instructions dans le contenu d’un document qui est transmis à l’assistant à l’insu de l’utilisateur. Adam Logue a décrit comment les instructions cachées utilisent une modification progressive des tâches (par exemple, « résumez d’abord, puis ignorez cela et faites telle ou telle chose ») réparties sur plusieurs onglets d’une feuille de calcul. De plus, cette révélation expose une autre surface d’attaque où la fonctionnalité de génération de diagrammes (Mermaid output) devient le canal d’exfiltration. Le chercheur en sécurité a expliqué que le transfert des données s’est effectué via une requête web standard ce qui le rendait impossible à distinguer d’un clic officiel dans de nombreux environnements.
« L’un des aspects remarquables des diagrammes Mermaid, c’est qu’ils prennent également en charge le CSS », a fait remarquer le chercheur. « Cela ouvre des vecteurs d’attaque intéressants pour l’exfiltration de données, car M365 Copilot peut générer un diagramme Mermaid à la volée et inclure dans le diagramme des données récupérées à partir d’autres outils. » Des révélations récentes mettent en évidence une recrudescence des attaques par injection indirecte immédiate, dans lesquelles des macros cachées dans des documents ou des commentaires intégrés dans des demandes d’extraction détournent les flux basés sur l’IA et extraient des données sans action manifeste de la part de l’utilisateur. Ces tendances montrent que des outils comme les générateurs de diagrammes ou les sorties visuelles peuvent rapidement devenir des canaux furtifs d’exfiltration.