Faille EchoLeak : Microsoft 365 Copilot victime de son RAG

Un RAG vulnérable peut en cacher un autre.

C'est plus qu'un sous-entendu pour l'entreprise qui a découvert EchoLeak. Une vulnérabilité critique (CVE-2025-32771) qui permettait d'exfiltrer des données sensibles via Copilot dans Microsoft 365.

Dans la pratique, on a plutôt affaire à une combinaison de vulnérabilités. La principale chaîne d'attaque en associe trois, correspondant, dans le Top 10 OWASP, aux catégories LLM01 (injection de prompt), LLM02 (divulgation d'informations sensibles) et LLM04 (empoisonnement de données et de modèle).

Empoisonnement de RAG

L'instruction d'exfiltration est injectée indirectement, par l'intermédiaire du RAG. On l'intègre dans un ou plusieurs e-mails, rédigé(s) de sorte que l'instruction paraît s'adresser à un humain. Elle contourne ainsi les filtres de contenu.
Pour maximiser les chances que Copilot l'exploite, on peut essayer de déterminer, à renfort de social engineering, quelles requêtes la cible est susceptible d'effectuer. On peut aussi, en supposant qu'il y ait une base de données vectorielle sous le capot, maximiser l'usage de l'espace latent. Soit en envoyant une multitude d'e-mails qui occuperont autant de points dans cet espace. Soit en en envoyant un seul, mais suffisamment long de sorte qu'il sera fragmenté, chaque chunk occupant là aussi un point spécifique.

La chaîne d'attaque principale utilise cette dernière option. Pour déclencher l'exfiltration, il a d'abord été envisagé de faire afficher un lien vers un serveur malveillant. Et de glisser les données dans les paramètres de requête. Problème : Copilot masque les liens externes (dans son modèle de sécurité, on ne peut accéder qu'aux ressources de l'organisation). Sauf que certains liens Markdown, comme les liens en référence ([ref]), passent à travers les mailles du filet.

Une URL Teams pour une attaque "zéro clic"

Pour éliminer la nécessité d'un clic sur le lien, on peut songer à faire produire à Copilot une image - là aussi en référence - que le navigateur tentera automatiquement d'ouvrir. Néanmoins, par défaut, la politique de sécurité du contenu img-src limite l'origine des images à une liste d'URL autorisées, toutes de l'écosystème Microsoft.
Dans cette liste se trouvent des domaines associées à SharePoint. Et il existe une URL qui permet d'effectuer une requête au nom du client pour récupérer des données embarquées. Seule contrainte : que l'utilisateur se connecte de manière active à son compte SharePoint Online et accepte l'invitation de l'attaquant à consulter son site.

Pour supprimer cette nécessité, il existe, dans Teams, une URL qui produit le même résultat... et qui n'exige aucune action spécifique de la part de l'utilisateur.

On peut faire en sorte que Copilot ne source jamais l'e-mail malveillant, par exemple en donnant la consigne de ne jamais s'y référer pour des questions de conformité.

L'ensemble a été corrigé en mai, par une mise à jour côté serveur. Microsoft assure ne pas avoir constaté d'exploitation.

Illustration générée par IA