Une vulnérabilité a été découverte dans Microsoft 365 Copilot. La faille permet à un attaquant de manipuler l’IA générative avec un simple mail malveillant. Sans que l’utilisateur s’en aperçoive, l’intelligence artificielle peut envoyer des données sensibles à un serveur externe. On vous dit tout sur EchoLeak, la nouvelle menace qui pèse sur les systèmes à base d’IA.
Les chercheurs d’Aim Labs ont débusqué une vulnérabilité dans le fonctionnement de Microsoft 365 Copilot, l’assistant intelligent intégré aux applications de la suite Microsoft. Cette faille permet d’exfiltrer des données sensibles sans nécessiter la moindre interaction de la part de la victime. Il s’agit donc d’une attaque « zero clic » qui peut être automatisée.
À lire aussi : « Hey Copilot » – votre PC Windows 11 va bientôt écouter tout ce que vous dites
Mail malveillant et instructions secrètes
Pour exploiter la vulnérabilité, baptisée EchoLeak par les chercheurs, l’attaquant envoie un mail malveillant à la cible. Ce courriel est en apparence inoffensif. Il ressemble à n’importe quelle publicité reçue par mail. Le mail renferme cependant des instructions cachées destinées au modèle de langage de Copilot. Ces instructions demandent à l’IA générative d’extraire et d’exfiltrer des données internes sensibles de l’ordinateur. L’utilisateur ne se rend compte de rien tandis que l’attaquant communique avec l’intelligence artificielle pour subtiliser ses données. Vu que « Copilot analyse les emails de l’utilisateur en arrière-plan, il lit ce message et exécute l’invite, accédant aux fichiers internes et extrayant des données sensibles », explique Adir Gruss, cofondateur d’Aim, à Fortune.
Le message est formulé de manière à berner le filtre XPIA (cross‑prompt injection attack) de Microsoft Copilot , qui est justement conçu pour détecter et bloquer des instructions malveillantes avant qu’elles n’atteignent le modèle d’IA. Selon les chercheurs, il faut impérativement formuler les instructions comme si elles s’adressaient à un être humain. Ce sont « des consignes qui pourraient tout à fait être interprétées comme destinées au lecteur humain, plutôt que comme des instructions » pour une IA.
Une fois les mécanismes de sécurité bernés, le modèle d’IA interprète les instructions et extrait les données (emails, fichiers, conversations…) et les encode dans une URL ou une image au format markdown destinées à un serveur externe. Les données sont exfiltrées et parviennent à l’attaquant, sans que l’utilisateur ait pris conscience de l’opération. De plus, « Copilot masque l’origine de ces instructions, de sorte que l’utilisateur ne puisse pas retracer ce qui s’est passé », ajoute Adir Gruss.
Notez que l’opération se déclenche lorsque l’utilisateur pose à Copilot une question liée au domaine de l’email malveillant. C’est-à ce moment-là que l’IA va lire et exécuter les instructions du message. L’email malveillant n’a jamais à être ouvert manuellement par la cible pour que la faille puisse être exploitée. Il suffit que le pirate ait mentionné des mots bien précis dans le courriel.
À lire aussi : Microsoft transforme GitHub Copilot en coéquipier virtuel pour les développeurs
Une faille critique corrigée par Microsoft
Alerté par les chercheurs, Microsoft a estimé que cette vulnérabilité était critique. L’éditeur a donc corrigé la brèche le mois dernier par une mise à jour coté serveurs. Microsoft précise qu’il n’y a aucune preuve que la faille a bien été exploitée par des pirates.
« Nous remercions Aim d’avoir identifié et signalé ce problème de manière responsable, afin qu’il soit résolu avant que nos clients n’en soient affectés. Nous avons déjà déployé des correctifs dans nos produits pour atténuer cette vulnérabilité, sans qu’aucune action ne soit requise de la part des utilisateurs. Nous renforçons également notre posture de sécurité en déployant des mesures de défense en profondeur supplémentaires », déclare Microsoft dans un communiqué adressé à nos confréres de Fortune.
Selon Aim Labs, il a fallu plus de trois mois à Microsoft pour trouver une solution pour combler la brèche, qualifiée de totalement inédite. C’est pourquoi l’entreprise a mis du temps pour mobiliser les bonnes équipes. Avant d’arriver à un correctif, Microsoft a testé plusieurs solutions qui se sont avérées infructueuses.
EchoLeak illustre l’émergence d’une nouvelle catégorie d’attaques, qu’Aim Labs a intitulé « LLM Scope Violation ». Ce nouveau type de cyberattaques survient lorsqu’un modèle de langage dépasse les limites prévues et sort du périmètre dans lequel il est censé rester. En l’occurrence, l’IA sort du périmètre autorisé pour aller piocher dans les données de l’utilisateur, sans son consentement. On peut redouter que d’autres vulnérabilités de cet acabit soient identifiées dans les systèmes reposant sur l’IA dans un avenir proche.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Aim