CVE-2026-45497 : RCE Microsoft 365 Copilot CVSS 9.8

Les faits

Le 4 juin 2026, Microsoft a divulgué publiquement CVE-2026-45497, une vulnérabilité critique d'exécution de code à distance (RCE) affectant Microsoft 365 Copilot, le service d'intelligence artificielle intégré à la suite Microsoft 365. Avec un score CVSS v3.1 de 9.8 selon plusieurs sources tierces et un vecteur officiel CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:L (score de base 7.7) selon le Security Update Guide MSRC, cette faille est classée Critical par Microsoft en raison de sa classe de faiblesse — l'injection de commandes (CWE-77) — et de son scope d'impact étendu permettant d'affecter des composants au-delà du service Copilot. La particularité notable est que Microsoft avait déjà corrigé la vulnérabilité côté serveur trois jours avant la divulgation publique.

Nature de la vulnérabilité : injection de commandes dans un service d'IA cloud
CVE-2026-45497 est causée par une neutralisation insuffisante d'éléments spéciaux dans des entrées utilisateur transmises à des composants de traitement de commandes internes au service Microsoft 365 Copilot (CWE-77 : Improper Neutralization of Special Elements used in a Command). Certaines chaînes de caractères spécifiquement construites soumises à Copilot n'étaient pas correctement assainies avant d'être traitées par les composants backend, permettant à un attaquant d'injecter des instructions système ou des arguments de commande inattendus dans les processus d'exécution du service. Cette classe de vulnérabilité est bien connue dans les applications web classiques, mais sa présence dans un service d'IA générative multi-tenant la rend particulièrement significative en raison de la portée des données accessibles.

Le vecteur CVSS et la métrique Scope Changed
Le vecteur CVSS v3.1 officiel est CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:L (score 7.7). La métrique S:C (Scope Changed) est l'élément le plus significatif pour les équipes de sécurité enterprise : elle indique que l'impact de la vulnérabilité dépasse le périmètre du service Copilot lui-même. Un attaquant exploitant cette faille pouvait potentiellement sortir de l'environnement d'exécution sandboxé de Copilot et affecter d'autres composants de l'infrastructure Microsoft 365. Cette évasion de conteneur dans un contexte cloud multi-tenant est la raison principale de la classification Critical, malgré la complexité d'attaque élevée (AC:H) et les privilèges utilisateur requis (PR:L — un compte M365 ordinaire suffit). La discordance entre le 9.8 cité par certaines sources tierces et le 7.7 officiel s'explique par des différences dans l'évaluation des métriques temporelles et environnementales.

Chronologie de la découverte et du patch silencieux
La vulnérabilité a été découverte le 28 mai 2026. Le Security Response Center (MSRC) de Microsoft a été notifié le même jour et a confirmé la reproduction dans les 48 heures. Les équipes d'ingénierie ont développé, testé et déployé un hotfix en moins de quatre jours, avec un roulement progressif : d'abord sur les tenants internes Microsoft, puis sur les tenants commerciaux, et enfin sur l'ensemble des environnements de production mondiaux. La couverture complète a été atteinte le 1er juin 2026, soit trois jours avant la divulgation publique. Microsoft a ainsi opté pour un patch silencieux préalable à toute annonce, pratique standard pour les vulnérabilités de services SaaS critiques.

Absence d'action requise côté client
Contrairement aux vulnérabilités affectant des logiciels on-premise, CVE-2026-45497 ne requiert aucune action de la part des administrateurs ou utilisateurs de Microsoft 365 : pas de KB package à installer, pas de build number à cibler, aucun changement de configuration requis dans le portail admin. Microsoft confirme que toutes les instances du service Microsoft 365 Copilot fonctionnent sur la version corrigée depuis le 1er juin 2026. L'advisory MSRC indique qu'aucune exploitation publique et aucune exploitation active in-the-wild n'était connue au moment de la divulgation. La fenêtre de vulnérabilité effective est donc limitée à quatre jours (28 mai - 1er juin 2026).

Implications pour la sécurité des services d'IA générative enterprise
CVE-2026-45497 illustre une classe de risques émergente associée à l'intégration des services d'IA générative dans les suites de productivité enterprise. Les services Copilot traitent des requêtes en langage naturel, les transforment en appels d'API, en requêtes de données et en exécutions de tâches automatisées. Cette surface de traitement étendue crée des vecteurs d'injection multiples : outre les injections de commandes système classiques comme CVE-2026-45497, les services IA sont également exposés aux prompt injection attacks, où des instructions malicieuses intégrées dans des documents ou e-mails peuvent manipuler l'IA pour exfiltrer des données ou exécuter des actions non autorisées. La convergence entre les vulnérabilités logicielles traditionnelles et les vecteurs d'attaque propres aux LLM crée un paysage de risques spécifique et en rapide évolution.

Historique des vulnérabilités dans l'écosystème Copilot
CVE-2026-45497 n'est pas la première vulnérabilité significative affectant les services Copilot. Des chercheurs avaient précédemment documenté des vulnérabilités d'injection de prompt dans Copilot Studio permettant l'exfiltration de données, et Microsoft avait corrigé en 2025 des failles dans l'intégration Copilot/Salesforce Agentforce permettant la manipulation d'agents autonomes. Ces précédents illustrent une tendance structurelle : à mesure que les services d'IA générative gagnent en capacités d'action autonome et en accès à des données sensibles, la surface d'attaque associée s'étend proportionnellement. Le passage de Copilot d'un assistant conversationnel à un agent capable d'effectuer des actions dans Microsoft 365 augmente mécaniquement l'impact potentiel de toute vulnérabilité le touchant.

Communication Microsoft et audits de sécurité engagés
Microsoft a respecté les meilleures pratiques de divulgation responsable pour les services SaaS : correction complète avant annonce publique, advisory détaillé dans le Security Update Guide sous la référence CVE-2026-45497, classification transparente de la sévérité et de la classe de faiblesse. L'advisory confirme que des audits de sécurité complémentaires du pipeline de traitement Copilot ont été lancés suite à cette découverte, signalant une prise en compte sérieuse du risque systémique au-delà de la correction de la faille spécifique.

Impact et exposition

Toute organisation utilisant Microsoft 365 Copilot dans ses versions commerciales, gouvernementales ou éducation était théoriquement exposée entre le 28 mai et le 1er juin 2026 — soit potentiellement des centaines de millions d'utilisateurs. Cependant, la complexité d'attaque élevée (AC:H) signifie que l'exploitation requiert des conditions spécifiques non triviales à réunir, et les privilèges requis (PR:L) excluent les attaques entièrement externes sans compte M365 valide.

La métrique Scope Changed est le facteur le plus préoccupant pour les grandes organisations : une exploitation réussie pouvait potentiellement sortir du contexte Copilot et impacter d'autres composants Microsoft 365. Les organisations disposant d'intégrations Copilot avancées (agents Copilot Studio autonomes, plugins connectés à SharePoint, Dynamics 365 ou des données sensibles via Microsoft Purview) étaient les plus exposées en termes d'impact potentiel.

Microsoft affirme n'avoir observé aucune exploitation active de CVE-2026-45497 pendant la fenêtre de vulnérabilité, et les logs de sécurité cloud ne montrent aucun trafic correspondant à un pattern d'exploitation connu. La fenêtre d'exposition de quatre jours réduit le risque d'exploitation opportuniste. Néanmoins, dans un service traitant des millions d'interactions quotidiennes, la détection d'une exploitation ciblée et discrète reste un défi technique que les organisations gérant des données sensibles ne peuvent pas ignorer.

Le risque résiduel post-patch pour CVE-2026-45497 est nul pour la vulnérabilité spécifique. Cependant, la divulgation publique génère un risque de recherche de variantes similaires par la communauté de sécurité offensive et des acteurs malveillants dans d'autres endpoints Copilot ou services d'IA cloud. Les organisations disposant de politiques de sécurité matures doivent intégrer la surveillance des activités d'agents IA autonomes dans leur programme de détection et de réponse.

Recommandations immédiates

• Aucun patch à appliquer côté client — Microsoft 365 Copilot est entièrement corrigé côté serveur depuis le 1er juin 2026 (Microsoft Security Advisory CVE-2026-45497, publié le 4 juin 2026)
• Auditer les logs d'activité Copilot pour la période du 28 mai au 1er juin 2026 via Microsoft Purview Compliance Portal : Audit > Nouvelle recherche > filtrer sur les activités Copilot
• Réviser les politiques d'accès et les permissions des plugins et agents Copilot Studio pour appliquer le principe du moindre privilège
• Mettre en place des alertes sur les activités Copilot anormales (requêtes à forte volumétrie, accès à des fichiers sensibles inhabituels) via Microsoft Sentinel ou Purview
• Inventorier les intégrations Copilot connectées à des données sensibles (SharePoint, Teams, Outlook, Dynamics 365) et évaluer leur périmètre d'accès
• Sensibiliser les équipes SOC aux risques spécifiques des services d'IA cloud (prompt injection, command injection) et mettre à jour les runbooks de réponse à incident