Une vulnérabilité CVSS 9,6 dans GitHub Copilot Chat, baptisée CamoLeak, permet d'exfiltrer silencieusement code source et jetons API depuis des dépôts privés via des instructions Markdown invisibles.
En bref
- Une faille critique de GitHub Copilot Chat baptisée CamoLeak (CVE-2025-59145, CVSS 9,6) a permis d'exfiltrer silencieusement code source et secrets depuis des dépôts privés.
- L'attaque par injection de prompt indirecte utilise des commentaires Markdown invisibles dans les pull requests pour piloter l'assistant IA.
- GitHub a corrigé la faille en désactivant le rendu des images dans Copilot Chat ; les utilisateurs Business et Enterprise restent les premiers concernés.
Ce qui s'est passé
Une vulnérabilité critique de GitHub Copilot Chat, identifiée CVE-2025-59145 et notée 9,6 sur l'échelle CVSS, a permis à des attaquants de dérober silencieusement des données sensibles depuis les dépôts privés des entreprises utilisatrices. Surnommée CamoLeak par le chercheur Omer Mayraz qui l'a divulguée publiquement, l'attaque exploite la capacité de l'assistant IA à lire les commentaires Markdown cachés présents dans une description de pull request, sans qu'aucun code malveillant ne soit jamais exécuté sur la machine de la victime. Le simple fait pour un développeur d'ouvrir la PR puis de demander à Copilot Chat de la résumer suffisait à déclencher l'exfiltration des secrets, ce qui place cette faille parmi les plus furtives jamais documentées dans l'écosystème des assistants de code.
Le scénario d'attaque se déroule en trois temps. L'attaquant glisse d'abord des instructions invisibles dans la description d'une pull request grâce à la syntaxe de commentaire HTML acceptée par Markdown. Lorsque la victime active Copilot, l'assistant ingère ces instructions cachées et part fouiller le code privé à la recherche de jetons d'API, identifiants AWS et clés de chiffrement. Les données collectées sont ensuite exfiltrées via Camo, le proxy d'images interne de GitHub, ce qui permet de contourner les restrictions de Content Security Policy puisque le trafic apparaît comme légitime aux yeux des dispositifs de sécurité réseau.
GitHub a discrètement déployé un correctif en août 2025 en désactivant le rendu des images dans Copilot Chat. La divulgation publique a attendu deux mois supplémentaires, le temps que les équipes de Microsoft et GitHub valident l'efficacité de la mesure et préviennent les grands comptes les plus exposés. Selon les analyses techniques publiées par BlackFog et SecurityWeek, aucune télémétrie ne suggère d'exploitation à grande échelle, mais la simplicité du procédé inquiète les équipes sécurité.
Pourquoi c'est important
CamoLeak inaugure une nouvelle catégorie d'attaques où l'assistant IA devient lui-même le canal d'exfiltration, sans qu'aucun binaire ne soit déposé sur les postes des développeurs. Le mode opératoire ne nécessite pas de compromission préalable : un simple commentaire dans une PR contributoire suffit, ce qui rend la détection extrêmement difficile pour les EDR et SIEM traditionnels qui n'inspectent pas les flux conversationnels entre développeurs et copilotes. Pour les équipes SOC, le périmètre à instrumenter s'étend désormais à un nouveau canal souvent absent des plans de surveillance.
L'incident illustre aussi la fragilité du modèle de confiance des assistants IA dotés d'un accès profond au code source. Les mêmes mécanismes d'injection indirecte de prompt s'appliquent à Microsoft 365 Copilot, Google Gemini Code Assist ou aux agents IA autonomes que Microsoft prépare pour Copilot 365. Pour les entreprises ayant déployé ces outils sur des bases de code stratégiques, la question n'est plus de savoir si une variante de CamoLeak surgira, mais quand. La récente vague de vulnérabilités IA, dont la RCE Marimo exploitée en 10 heures, confirme que la surface d'attaque autour des outils de développement assistés par IA s'élargit plus vite que les capacités de défense.
Ce qu'il faut retenir
- Vérifier que toutes les instances Copilot Chat utilisent la dernière version, post-août 2025, avec rendu d'images désactivé côté serveur GitHub.
- Auditer les politiques de revue de code : interdire le résumé automatisé par IA des pull requests provenant de contributeurs externes non vérifiés.
- Étendre la collecte d'indicateurs aux journaux d'API des assistants IA (prompts entrants, requêtes sortantes vers des proxies d'images ou de contenu).
Quelles versions de GitHub Copilot sont concernées par CamoLeak ?
Toutes les éditions de Copilot Chat antérieures au correctif d'août 2025 sont concernées : Copilot Individual, Business et Enterprise. GitHub a appliqué le patch côté serveur sans intervention requise des clients. Les organisations utilisant des plugins ou intégrations tierces doivent toutefois vérifier que ceux-ci ne réintroduisent pas le rendu d'images dans le flux conversationnel.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
ShinyHunters publie 78,6 millions de records Rockstar (GTA Online)
Apres l'expiration de l'ultimatum du 14 avril 2026, ShinyHunters a publie 78,6 millions d'enregistrements lies a GTA Online et Red Dead Online. La compromission est passee par le SaaS tiers Anodot.
CVE-2026-33032 : faille critique nginx-ui exploitee (MCPwn)
La faille CVE-2026-33032, codee MCPwn par Pluto Security, expose plus de 2 689 instances nginx-ui a une prise de controle totale. Le correctif 2.3.4 doit etre applique en urgence.
CVE-2026-32201 : zero-day SharePoint exploite activement (BlueHammer)
Microsoft a corrige en avril 2026 un zero-day SharePoint exploite dans la nature. La faille CVE-2026-32201 permet une usurpation de contenu sur les serveurs SharePoint 2016, 2019 et Subscription Edition.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire