Maison
Un rapport confidentiel révèle que Microsoft Copilot est vulnérable à l'injection indirecte de commandes
La société de recherche en sécurité PromptArmor a récemment publié un rapport mettant en évidence une grave faille de sécurité dans le service d'agent IA de Microsoft, Copilot Cowork, qui fait partie de Microsoft 365. Les pirates peuvent utiliser une méthode appelée « injection indirecte de prompt » pour voler et divulguer discrètement des fichiers confidentiels provenant du stockage cloud interne d'une organisation, sans le consentement de l'utilisateur.
Des instructions malveillantes dissimulées dans des modèles Office
En tant qu'assistant IA intégré, Cowork dispose de larges autorisations pour envoyer des e-mails, publier des messages dans Teams et accéder aux données internes depuis OneDrive et SharePoint. Cependant, des chercheurs ont découvert que des attaquants peuvent intégrer des instructions malveillantes dans des pages web, des documents ou des modèles de bureautique en apparence banals, tels qu'un « Bilan hebdomadaire du travail », afin de piéger l'agent IA pour qu'il les exécute.
Lorsqu'un utilisateur demande à Cowork de traiter un fichier contenant ces invites malveillantes, l'agent IA est induit en erreur et prétend à tort qu'il doit générer un aperçu du document. Il récupère alors automatiquement des liens de téléchargement pré-authentifiés pour des fichiers sensibles et renvoie ces liens à l'attaquant via des messages Teams — le tout s'effectuant en arrière-plan, ce qui rend la détection extrêmement difficile pour les utilisateurs.
Les tâches planifiées amplifient le risque et sont difficiles à bloquer
Le rapport souligne que, comme Copilot Cowork peut effectuer des tâches de manière programmée, cela augmente considérablement le risque de sécurité. Par exemple, des tâches automatisées récurrentes telles que « Résumé du rapport hebdomadaire », qui s’exécutent périodiquement, peuvent déclencher et exécuter à plusieurs reprises la chaîne d’attaque en arrière-plan, même lorsque l’utilisateur est loin de son écran et n’utilise pas activement le système.
Lors de tests de sécurité, cette méthode d'attaque a atteint un taux de réussite de 100 % sur cinq essais. Pire encore, les administrateurs ont une capacité limitée à surveiller ou contrôler ces « fichiers de compétences », et la vulnérabilité est non seulement efficace en mode automatique, mais reste également exploitable lors de l'appel explicite de modèles plus puissants et plus volumineux comme Claude Opus 4.7.
Article connexe
Les ministères britanniques s'affrontent au sujet des besoins énergétiques des centres de données dédiés à l'IA
Le gouvernement britannique est confronté à un défi de taille : promouvoir les énergies propres tout en visant à devenir un leader mondial dans le domaine de l'intelligence artificielle. Or, de sérieu
L'Administration chinoise du cyberespace impose l'étiquetage des courtes vidéos générées par l'IA et des vidéos de fiction
L'Administration chinoise du cyberespace a mis en place un plan global visant à normaliser l'étiquetage des contenus vidéo courts, en imposant aux plateformes l'utilisation de six balises obligatoires
DeepL, réputé pour la traduction de textes, se lance désormais dans la traduction vocale
DeepL, une entreprise de traduction surtout connue pour ses outils textuels, a lancé aujourd’hui une suite de traduction voix-voix destinée à des situations telles que les réunions, les conversations
Recommandations de sujets spéciaux liés
en écrivant
Les meilleurs créateurs de profils de fiction basés sur l'IA : générer des motivations de personnages cohérentes et des faiblesses fatales
Découvrez les meilleurs outils de création de profils de personnages basés sur l'IA de 2026 pour donner de la profondeur à vos personnages. La sélection de XIX.AI regroupe les outils les mieux notés et les plus innovants, capables de générer des motivations cohérentes et des défauts fatals. Comparez les options gratuites et payantes grâce à des tests concrets. Libérez dès maintenant votre potentiel de narration.
10 outils
xix.ai
Entreprise
Les meilleurs logiciels d'optimisation des prix basés sur l'IA : suivez vos concurrents et ajustez automatiquement les prix de votre boutique
Découvrez les meilleurs logiciels d'optimisation des prix basés sur l'IA pour 2026 sur XIX.AI. Notre sélection comprend des outils de premier plan qui changent la donne : ils surveillent vos concurrents et ajustent automatiquement les prix de votre boutique pour maximiser vos bénéfices. Comparez les options gratuites et payantes grâce à des tests concrets. Prenez dès maintenant une longueur d'avance en matière de tarification.
10 outils
xix.ai
code
Les meilleurs outils d'analyse de code basés sur l'IA : automatisez la conformité au code propre et refactorisez les fichiers des dépôts hérités
Découvrez les meilleurs outils d'analyse de code par IA de 2026 sur XIX.AI. Notre sélection comprend des outils de premier plan, véritables révolutionnaires, permettant d'automatiser la conformité au code propre et de refactoriser les fichiers de dépôts hérités. Comparez les options gratuites et payantes grâce à des tests concrets et à des classements mis à jour chaque semaine. Prenez dès aujourd'hui une longueur d'avance grâce à l'IA.
10 outils
xix.ai
Synthèse vocale
Les meilleures applications de synthèse vocale basées sur l'IA pour la dyslexie : un soutien à l'apprentissage et à l'efficacité en lecture pour les élèves
Découvrez les meilleures applications de synthèse vocale par IA de 2026, spécialement sélectionnées pour aider les personnes dyslexiques. Notre classement d'experts compare les outils gratuits et payants, en mettant en avant des fonctionnalités performantes qui améliorent l'efficacité de la lecture et l'apprentissage. Découvrez des solutions révolutionnaires à ne pas manquer pour libérer le potentiel des élèves. Commencez votre parcours sur XIX.AI.
10 outils
xix.ai
Création de bande dessinée
Les meilleurs générateurs IA pour les mangas shonen : créez des séquences d'action survoltées et des effets d'énergie
Découvrez les meilleurs générateurs IA de mangas shonen de 2026 sur XIX.AI. Notre sélection triée sur le volet comprend des outils performants pour créer des séquences d'action à couper le souffle et des effets d'énergie dynamiques. Comparez les options gratuites et payantes grâce à des tests concrets. Libérez votre potentiel créatif et commencez dès aujourd'hui à créer des mangas épiques !
15 outils
xix.ai
Entreprise
Les meilleurs outils de suivi des dépenses basés sur l'IA : numérisez vos reçus et classez automatiquement les dépenses de l'entreprise
Les meilleurs outils de gestion des dépenses basés sur l'IA en 2026 : les outils les mieux notés pour numériser vos reçus et classer automatiquement les dépenses de votre entreprise. Découvrez des solutions puissantes et révolutionnaires pour une gestion des dépenses sans effort, un suivi financier précis et une conformité simplifiée. Notre comparatif, mis à jour chaque semaine, qui oppose les options gratuites aux options payantes, vous aide à trouver la solution qui vous convient le mieux. Tirez pleinement parti de l'IA grâce aux recommandations d'experts de XIX.AI.
10 outils
xix.ai
commentaires (0)
La société de recherche en sécurité PromptArmor a récemment publié un rapport mettant en évidence une grave faille de sécurité dans le service d'agent IA de Microsoft, Copilot Cowork, qui fait partie de Microsoft 365. Les pirates peuvent utiliser une méthode appelée « injection indirecte de prompt » pour voler et divulguer discrètement des fichiers confidentiels provenant du stockage cloud interne d'une organisation, sans le consentement de l'utilisateur.
Des instructions malveillantes dissimulées dans des modèles Office
En tant qu'assistant IA intégré, Cowork dispose de larges autorisations pour envoyer des e-mails, publier des messages dans Teams et accéder aux données internes depuis OneDrive et SharePoint. Cependant, des chercheurs ont découvert que des attaquants peuvent intégrer des instructions malveillantes dans des pages web, des documents ou des modèles de bureautique en apparence banals, tels qu'un « Bilan hebdomadaire du travail », afin de piéger l'agent IA pour qu'il les exécute.
Lorsqu'un utilisateur demande à Cowork de traiter un fichier contenant ces invites malveillantes, l'agent IA est induit en erreur et prétend à tort qu'il doit générer un aperçu du document. Il récupère alors automatiquement des liens de téléchargement pré-authentifiés pour des fichiers sensibles et renvoie ces liens à l'attaquant via des messages Teams — le tout s'effectuant en arrière-plan, ce qui rend la détection extrêmement difficile pour les utilisateurs.
Les tâches planifiées amplifient le risque et sont difficiles à bloquer
Le rapport souligne que, comme Copilot Cowork peut effectuer des tâches de manière programmée, cela augmente considérablement le risque de sécurité. Par exemple, des tâches automatisées récurrentes telles que « Résumé du rapport hebdomadaire », qui s’exécutent périodiquement, peuvent déclencher et exécuter à plusieurs reprises la chaîne d’attaque en arrière-plan, même lorsque l’utilisateur est loin de son écran et n’utilise pas activement le système.
Lors de tests de sécurité, cette méthode d'attaque a atteint un taux de réussite de 100 % sur cinq essais. Pire encore, les administrateurs ont une capacité limitée à surveiller ou contrôler ces « fichiers de compétences », et la vulnérabilité est non seulement efficace en mode automatique, mais reste également exploitable lors de l'appel explicite de modèles plus puissants et plus volumineux comme Claude Opus 4.7.
Les ministères britanniques s'affrontent au sujet des besoins énergétiques des centres de données dédiés à l'IA
Le gouvernement britannique est confronté à un défi de taille : promouvoir les énergies propres tout en visant à devenir un leader mondial dans le domaine de l'intelligence artificielle. Or, de sérieu
L'Administration chinoise du cyberespace impose l'étiquetage des courtes vidéos générées par l'IA et des vidéos de fiction
L'Administration chinoise du cyberespace a mis en place un plan global visant à normaliser l'étiquetage des contenus vidéo courts, en imposant aux plateformes l'utilisation de six balises obligatoires
DeepL, réputé pour la traduction de textes, se lance désormais dans la traduction vocale
DeepL, une entreprise de traduction surtout connue pour ses outils textuels, a lancé aujourd’hui une suite de traduction voix-voix destinée à des situations telles que les réunions, les conversations
Découvrez les meilleurs outils de création de profils de personnages basés sur l'IA de 2026 pour donner de la profondeur à vos personnages. La sélection de XIX.AI regroupe les outils les mieux notés et les plus innovants, capables de générer des motivations cohérentes et des défauts fatals. Comparez les options gratuites et payantes grâce à des tests concrets. Libérez dès maintenant votre potentiel de narration.
10 outils
xix.ai
Découvrez les meilleurs logiciels d'optimisation des prix basés sur l'IA pour 2026 sur XIX.AI. Notre sélection comprend des outils de premier plan qui changent la donne : ils surveillent vos concurrents et ajustent automatiquement les prix de votre boutique pour maximiser vos bénéfices. Comparez les options gratuites et payantes grâce à des tests concrets. Prenez dès maintenant une longueur d'avance en matière de tarification.
10 outils
xix.ai
Découvrez les meilleurs outils d'analyse de code par IA de 2026 sur XIX.AI. Notre sélection comprend des outils de premier plan, véritables révolutionnaires, permettant d'automatiser la conformité au code propre et de refactoriser les fichiers de dépôts hérités. Comparez les options gratuites et payantes grâce à des tests concrets et à des classements mis à jour chaque semaine. Prenez dès aujourd'hui une longueur d'avance grâce à l'IA.
10 outils
xix.ai
Découvrez les meilleures applications de synthèse vocale par IA de 2026, spécialement sélectionnées pour aider les personnes dyslexiques. Notre classement d'experts compare les outils gratuits et payants, en mettant en avant des fonctionnalités performantes qui améliorent l'efficacité de la lecture et l'apprentissage. Découvrez des solutions révolutionnaires à ne pas manquer pour libérer le potentiel des élèves. Commencez votre parcours sur XIX.AI.
10 outils
xix.ai
Découvrez les meilleurs générateurs IA de mangas shonen de 2026 sur XIX.AI. Notre sélection triée sur le volet comprend des outils performants pour créer des séquences d'action à couper le souffle et des effets d'énergie dynamiques. Comparez les options gratuites et payantes grâce à des tests concrets. Libérez votre potentiel créatif et commencez dès aujourd'hui à créer des mangas épiques !
15 outils
xix.ai
Les meilleurs outils de gestion des dépenses basés sur l'IA en 2026 : les outils les mieux notés pour numériser vos reçus et classer automatiquement les dépenses de votre entreprise. Découvrez des solutions puissantes et révolutionnaires pour une gestion des dépenses sans effort, un suivi financier précis et une conformité simplifiée. Notre comparatif, mis à jour chaque semaine, qui oppose les options gratuites aux options payantes, vous aide à trouver la solution qui vous convient le mieux. Tirez pleinement parti de l'IA grâce aux recommandations d'experts de XIX.AI.
10 outils
xix.ai
