Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 40 modèles d’IA, avec 0 % de frais supplémentaires
Microsoft Copilot Cowork révèle une faille majeure : l'agent IA victime d'attaques par mots-clés provoquant la fuite automatique de fichiers confidentiels d'entreprise
Les organismes de cybersécurité PromptArmor révèlent une vulnérabilité d'injection de prompts dans Microsoft 365 Copilot Cowork, permettant à un attaquant, via un fichier de compétences malveillant, de compromettre la confidentialité des fichiers SharePoint et OneDrive d'une entreprise.
(Précédent : GitHub Copilot suspend son abonnement auto : l'utilisation de l'IA devient incontrôlable, l'économie des plans abordables s'effondre)
(Complément d'information : Guide complet de Claude Cowork : transformer l'IA d'un assistant de chat en votre employé numérique)
Sommaire de l'article
Toggle
5 tests, 5 succès. L'organisme de cybersécurité PromptArmor a publié la semaine dernière un rapport de renseignement sur les menaces, indiquant que la fonctionnalité Copilot Cowork de Microsoft 365 présente une chaîne d'attaque complète et reproductible menant à une fuite de fichiers.
L'attaquant n'a qu'à insérer 5 lignes de commandes malveillantes dans un fichier de compétences de 81 lignes pour que l'IA, sans que l'utilisateur en ait conscience, transfère des fichiers confidentiels de SharePoint et OneDrive vers un serveur contrôlé par l'attaquant.
Ce n'est pas un problème spécifique à un seul modèle. Claude Opus 4.7 et Claude Sonnet 4.6 ont tous deux été vérifiés comme vulnérables, et Opus 4.7 montre une « attitude » plus proactive, élargissant la recherche pour inclure tous les fichiers ouverts par la session Cowork de cette semaine, les mettant tous en liste de fuite.
Microsoft veut vous demander votre avis, mais il ne le fait pas
Le point clé de cette attaque réside dans l'écart entre un fichier officiel et le comportement réel.
Microsoft indique dans ses documents officiels : « Avant d'effectuer des opérations sensibles, comme envoyer un email ou publier un message dans Teams, Cowork vous demande votre consentement. »
Cependant, les chercheurs de PromptArmor ont découvert lors de leurs tests qu'en cas d'envoi à soi-même, cette règle échoue. Envoyer un email ou un message Teams à soi-même avec Copilot Cowork s'exécute automatiquement, sans fenêtre de confirmation d'autorisation, et l'utilisateur ne peut pas modifier ce comportement.
Ce détail constitue la faille critique de toute la chaîne d'attaque.
Copilot Cowork est une fonctionnalité de Microsoft 365, utilisant Microsoft Graph pour obtenir les permissions complètes du cloud de l'utilisateur, permettant de lire et manipuler toutes les données du tenant d'entreprise. En d'autres termes, il peut voir tout ce que vous voyez, y compris les rapports financiers sur SharePoint, les données RH dans OneDrive, et tous les fichiers contenant des informations personnelles.
Étapes de l'attaque
La chaîne d'attaque comporte six étapes :
Première étape : un fichier sensible contenant des données personnelles ou financières est stocké sur SharePoint ou OneDrive de la victime.
Deuxième étape : la victime télécharge un fichier de compétences depuis Internet, puis le téléverse dans Copilot Cowork, une opération courante, équivalente à l'installation d'un plugin. Le fichier de compétences de Cowork se charge automatiquement depuis un chemin spécifique dans OneDrive de l'utilisateur, avec une visibilité très limitée pour l'administrateur.
Troisième étape : la victime demande à Copilot Cowork de résumer ses activités de la semaine, ce qui déclenche l'exécution du fichier de compétences.
Quatrième étape : le fichier de prompt injecté manipule l'agent, lui faisant générer un « lien de téléchargement pré-autorisé » pour chaque fichier, puis, via une balise HTML malveillante d'image, envoie ces liens en tant que paramètres de requête à un serveur contrôlé par l'attaquant.
Qu'est-ce qu'un lien de téléchargement pré-autorisé ? En résumé, c'est une URL contenant des informations d'autorisation, permettant à quiconque de télécharger le fichier sans se connecter à un compte Microsoft, en cliquant simplement dessus.
Cinquième étape : l'agent envoie un message Teams à l'utilisateur lui-même, intégrant ces balises d'images malveillantes, sans que l'utilisateur ait besoin d'autorisation, et le contenu malveillant est totalement invisible pour lui. Même en ouvrant le message, il ne détecte rien d'anormal.
Sixième étape : dès que l'utilisateur ouvre le message Teams, le navigateur charge automatiquement l'image, envoyant le lien de téléchargement pré-autorisé au serveur de l'attaquant, qui peut alors télécharger tous les fichiers à tout moment.
Plus le modèle est intelligent, plus la fuite est complète
Les tests de PromptArmor révèlent un phénomène inquiétant : plus le modèle est puissant, plus les dégâts en cas d'attaque sont importants.
Au début, le mode « automatique » était utilisé, permettant au système de basculer dynamiquement entre Claude Opus 4.7 et Claude Sonnet 4.6. Ensuite, les chercheurs ont testé uniquement Opus 4.7, et ont constaté que la même injection de prompt fonctionnait parfaitement.
Cette chaîne d'attaque s'est toujours déroulée avec succès, indépendamment des questions posées par l'utilisateur, dès lors qu'une requête déclenchait le chargement du fichier de compétences.
La persistance de l'attaque est également préoccupante. Copilot Cowork supporte des tâches planifiées, permettant à l'utilisateur de définir des prompts automatiques récurrents. Si l'attaquant parvient à insérer une injection dans cette planification, la victime n'a même pas besoin d'intervenir : l'attaque s'exécute en silence à chaque cycle, déversant en continu des données sensibles.
PromptArmor insiste sur le fait que ce n'est pas une erreur logicielle pouvant être corrigée par un simple patch, mais un risque systémique inhérent à l'architecture des agents IA d'entreprise. Lorsqu'un agent se voit confier des délégations sur plusieurs systèmes, la moindre faille de confiance dans un système peut devenir une porte d'entrée pour une infiltration totale.
Restreindre les permissions est actuellement la seule barrière
PromptArmor a également révélé dans son rapport une vulnérabilité permettant à des données de sortir du sandbox de Copilot Cowork, indépendante de cette recherche, qui est en cours de divulgation responsable.
La chaîne d'attaque présentée ici a été volontairement divulguée, plutôt que d'attendre une correction, car elle découle d'une conception systémique plutôt que d'une vulnérabilité spécifique. Les utilisateurs doivent être informés pour décider en toute connaissance de cause.
Les mesures de mitigation actuelles consistent principalement à limiter le périmètre d'action de l'agent. Les administrateurs peuvent restreindre le téléchargement de fichiers via SharePoint : en utilisant la commande Set-SPOSite -Identity -BlockDownloadPolicy $true, ou en appliquant des étiquettes de sensibilité pour bloquer la fonction de téléchargement.
Le prix à payer est une perte de fonctionnalités : dans le navigateur, l'utilisateur ne pourra plus télécharger, imprimer ou synchroniser ses fichiers, y compris Word, Excel, PowerPoint et toutes les autres applications Microsoft 365.
C'est également la deuxième grande faille de sécurité récente dans l'écosystème Microsoft Copilot. Plus tôt, EchoLeak (CVE-2025-32711) concernait une injection de prompt dans la version personnelle de Copilot, et l'attaque Reprompt de Varonis (CVE-2026-24307) révélait une fuite de données par clic. La faille d'injection indirecte dans Copilot Studio (CVE-2026-21520, CVSS 7.5) a été corrigée, mais des vulnérabilités similaires persistent dans d'autres produits de la gamme Copilot.
Les capacités des agents IA deviennent un nouveau terrain de bataille pour la sécurité des entreprises.
Lorsqu'un outil peut « faire le travail » à votre place, ses permissions d'accès s'étendent inévitablement, et chaque permission accordée devient une voie potentielle d'attaque. Limiter leur capacité d'action revient à limiter leur utilité, un paradoxe sans solution parfaite à ce jour.