EchoLeak: la nouvelle menace invisible qui frappe les IA

Microsoft vient de corriger une faille critique qui marque un tournant dans la cybersécurité des intelligences artificielles. Pour la première fois, des chercheurs ont réussi à compromettre un assistant IA sans aucune interaction humaine.

L'ère des attaques silencieuses contre les IA

La vulnérabilité baptisée EchoLeak (CVE-2025-32711) découverte en janvier dernier par l'équipe d'Aim Security représente une première mondiale inquiétante. Notée 9,3/10 sur l'échelle CVSS des risques informatiques, cette faille permet d'attaquer Microsoft 365 Copilot via un simple email, sans que la victime n'ait à cliquer sur quoi que ce soit.

La particularité de cette attaque "zéro-clic" réside dans son invisibilité. L'utilisateur reçoit un message apparemment inoffensif, mais contenant des instructions malveillantes dissimulées qui manipulent directement l'IA. Une fois activée, la faille expose potentiellement l'ensemble des données accessibles par Copilot.

Comment EchoLeak contourne les défenses de Microsoft

L'exploit repose sur ce que les chercheurs appellent une "violation de périmètre LLM" (LLM Scope Violation). En termes simples, la technique permet à des instructions externes non fiables de forcer le modèle d'IA à accéder et divulguer des données internes privilégiées.

Le mécanisme d'attaque s'avère particulièrement sophistiqué:

• L'email malveillant utilise une formulation qui trompe les filtres anti-injection de prompts
• Des liens en format markdown contournent les systèmes de redirection sécurisée
• Des paramètres d'URL cachés dans des balises d'images exfiltrent automatiquement les données
• L'exploitation de domaines Microsoft approuvés (SharePoint, Teams) permet de passer outre les politiques de sécurité

Les informations exposées peuvent inclure l'intégralité du contexte professionnel: historiques de conversations, documents OneDrive, contenus SharePoint, échanges Teams, et toute donnée accessible par Copilot dans l'environnement de l'entreprise.

Une vulnérabilité révélatrice d'un problème architectural

Selon Adir Gruss, CTO d'Aim Security, EchoLeak met en lumière un défaut fondamental des grands modèles de langage: "Le fait que les agents utilisent des données fiables et non fiables dans le même processus de pensée constitue le défaut de conception qui les rend vulnérables."

Cette découverte soulève des questions sur l'ensemble de l'écosystème des assistants IA conversationnels, incluant Google Gemini, Anthropic MCP, et Salesforce Agentforce. Tous ces systèmes pourraient présenter des vulnérabilités similaires.

Le problème est d'autant plus préoccupant qu'une étude récente de SailPoint révèle que 82% des organisations utilisent déjà des agents IA, mais seulement 44% ont établi des politiques de sécurité adaptées.

Microsoft réagit, mais le problème persiste

Microsoft a corrigé la faille côté serveur en mai 2025, sans nécessiter d'action de la part des utilisateurs. La société a confirmé qu'aucune exploitation malveillante n'avait été détectée dans la nature avant le correctif.

Cependant, l'entreprise propose également des mécanismes de protection supplémentaires:

• Utilisation d'étiquettes DLP (Data Loss Prevention) pour exclure les emails externes
• Configuration de Copilot pour ignorer les messages avec des labels de sensibilité
• Déploiement de contrôles d'accès conditionnel renforcés

Ces mesures créent toutefois un dilemme entre sécurité et productivité, car elles limitent certaines fonctionnalités de Copilot.

L'avenir de la sécurité des agents IA

La résolution à long terme nécessitera probablement une refonte architecturale des assistants IA. Les experts recommandent une séparation claire entre les instructions fiables et les données non fiables, ainsi que le développement de protections spécifiques aux applications d'IA.

Aim Security a déjà développé des garde-fous en temps réel contre les violations de périmètre LLM, une technologie qui pourrait s'appliquer à l'ensemble des agents IA et applications RAG (Retrieval-Augmented Generation).

EchoLeak marque l'émergence d'une nouvelle catégorie de menaces spécifiques à l'intelligence artificielle. Les organisations doivent désormais intégrer ces risques dans leurs stratégies de sécurité globales, tout en continuant à exploiter les avantages de ces technologies. Les détails techniques complets sont disponibles sur le site d'Aim Labs: https://www.aim.security/lp/aim-labs-echoleak-blogpost.