En bref

  • La faille CVE-2026-42824, baptisée SearchLeak, permettait de voler en un clic des e-mails, fichiers et codes 2FA depuis Microsoft 365 Copilot Enterprise via une simple URL forgée.
  • Découverte par Varonis fin 2025 et signalée à Microsoft en janvier 2026, la chaîne d'attaque enchaîne une injection de prompt, une race condition HTML et un contournement de CSP via un SSRF Bing.
  • Microsoft a déployé un correctif backend en juin 2026 sans action requise de la part des utilisateurs, mais l'incident impose une révision de la posture de sécurité autour des outils IA intégrés à M365.

Une chaîne d'exploitation en trois étapes au cœur de Microsoft 365 Copilot

Le 16 juin 2026, les chercheurs en sécurité de Varonis ont publié les détails techniques complets d'une vulnérabilité critique qu'ils ont baptisée SearchLeak, enregistrée sous l'identifiant CVE-2026-42824. Cette faille, découverte fin 2025 lors d'un audit de sécurité d'un environnement Microsoft 365 intégrant Copilot Enterprise, permettait à un attaquant d'exfiltrer silencieusement des données sensibles appartenant à n'importe quel utilisateur ciblé, sans que celui-ci ait besoin de faire autre chose que cliquer sur un lien transmis par e-mail, message Teams, invitation de calendrier ou document partagé.

L'attaque repose sur une chaîne de trois vulnérabilités distinctes, enchaînées de manière à contourner successivement chacune des protections en place dans Microsoft 365 Copilot. La première étape exploite une faiblesse dite d'injection de paramètre-vers-prompt (P2P injection). Le paramètre URL utilisé par Copilot Enterprise Search pour formuler ses requêtes peut être manipulé afin d'injecter des instructions arbitraires directement dans le modèle de langage. En clair, un simple paramètre de l'URL suffisait à détourner le comportement de l'assistant IA et à lui ordonner de chercher, puis d'exposer, des contenus sensibles appartenant à la victime.

La deuxième étape exploite une race condition dans le rendu HTML des réponses générées par Copilot. Pendant que le modèle produit sa réponse en mode streaming, une balise image contrôlée par l'attaquant parvient à s'exécuter dans la page avant que les mécanismes de filtrage du contenu n'aient pu s'appliquer. Cette balise encode les données récupérées directement dans une URL de requête d'image, les transmettant ainsi vers un serveur externe sous contrôle de l'attaquant, sans que l'utilisateur ne perçoive le moindre comportement anormal dans son interface.

La troisième et dernière étape concerne le contournement de la politique de sécurité du contenu (Content Security Policy, CSP) de Microsoft 365. La CSP est censée empêcher tout envoi de requêtes vers des domaines non autorisés depuis les interfaces web Microsoft 365. Mais les chercheurs de Varonis ont découvert qu'un serveur Bing appartenant à Microsoft pouvait être utilisé comme proxy involontaire via un Server-Side Request Forgery (SSRF). La requête malveillante transitant par un domaine Microsoft légitime, elle franchissait le filtre CSP sans déclencher d'alerte.

Les types de données potentiellement exfiltrées par SearchLeak sont particulièrement sensibles dans un contexte professionnel : codes d'authentification à deux facteurs reçus par e-mail, mots de passe temporaires ou liens de réinitialisation, contenu d'e-mails confidentiels, détails de réunions de calendrier, fichiers SharePoint et documents OneDrive. Copilot Enterprise Search opérant avec les permissions complètes de l'utilisateur connecté, l'attaquant obtenait de facto accès à tout ce que la victime était autorisée à consulter au sein du tenant Microsoft 365 de son organisation.

Varonis a respecté un processus de divulgation responsable rigoureux. La faille a été signalée à Microsoft en janvier 2026, après plusieurs semaines d'analyse approfondie et de construction d'un proof-of-concept complet. Microsoft a confirmé la réception du rapport et travaillé à un correctif backend, déployé dans les mises à jour de sécurité de juin 2026 avec l'attribution du CVE et d'une sévérité critique. Aucune intervention de la part des administrateurs système ou des utilisateurs finaux n'est requise, le correctif étant appliqué entièrement côté serveur par Microsoft.

D'après l'analyse de Varonis, SearchLeak n'avait pas été observé en exploitation active dans la nature avant la divulgation publique. Cependant, la sophistication de la chaîne d'attaque suggère qu'elle était accessible à des groupes APT disposant de capacités de recherche offensives avancées. Le fait qu'une telle faille soit restée non détectée pendant plusieurs mois dans l'un des environnements cloud professionnels les plus répandus au monde illustre la complexité croissante de sécuriser des systèmes où l'IA générative interagit en temps réel avec des données sensibles d'entreprise.

Sur le plan de la classification, la sévérité critique retenue par Microsoft pour CVE-2026-42824 se justifie par plusieurs caractéristiques : exploitation ne nécessitant aucune authentification supplémentaire de l'attaquant, impact maximal sur la confidentialité de toutes les données accessibles à l'utilisateur ciblé, et facilité d'exploitation via un simple lien — sans nécessité de déployer un malware sur la machine de la victime. Dark Reading et BleepingComputer ont tous deux couvert la divulgation le 16 juin 2026, qualifiant SearchLeak de première exploitation documentée d'une chaîne aussi sophistiquée sur un assistant IA d'entreprise grand public.

L'IA générative d'entreprise, une surface d'attaque que les équipes sécurité ne peuvent plus ignorer

SearchLeak s'inscrit dans une série préoccupante de vulnérabilités ciblant les assistants IA intégrés aux suites de productivité d'entreprise. En 2025 et 2026, des chercheurs ont mis en évidence plusieurs vecteurs d'injection de prompt dans des outils comme GitHub Copilot, Google Workspace Gemini et Microsoft 365 Copilot. La nouveauté de CVE-2026-42824 réside dans l'enchaînement sophistiqué de trois techniques distinctes — injection de prompt, race condition sur le rendu HTML et contournement CSP — chacune insuffisante à elle seule, mais redoutable lorsqu'elles sont combinées. Cette approche de type chain exploitation dépasse largement les simples injections de prompt documentées dans les travaux antérieurs et atteste d'un investissement significatif en recherche offensive.

L'intégration profonde de Copilot Enterprise Search dans Microsoft 365 lui confère un accès privilégié à l'ensemble des données organisationnelles pour chaque utilisateur connecté : boîte mail Exchange, fichiers OneDrive, sites SharePoint, réunions Teams, notes OneNote. Ce niveau d'accès est précisément ce qui rend l'outil productif au quotidien — et ce qui en fait une cible de choix pour les attaquants. Exploiter l'assistant IA revient à disposer d'un accès unifié à toute la surface de données de l'organisation, sans nécessiter d'escalade de privilèges, de pivotement réseau ou de déploiement de logiciel malveillant sur les postes de travail.

Sur le plan réglementaire, cet incident survient alors que le règlement européen sur l'IA (EU AI Act) entre progressivement en vigueur pour les systèmes d'IA à usage général. Les déploiements IA dans des contextes à haut risque — notamment le traitement de données professionnelles sensibles à grande échelle — devront démontrer des garanties de sécurité robustes et documentées. SearchLeak illustre concrètement pourquoi les équipes de sécurité doivent intégrer les assistants IA dans leur périmètre d'audit, au même titre que n'importe quelle application critique de l'entreprise, et ne pas s'en remettre uniquement aux certifications des éditeurs.

Pour les organisations ayant déployé Microsoft 365 Copilot Enterprise, plusieurs mesures complémentaires s'imposent au-delà du correctif automatique. La supervision des requêtes Copilot pour détecter des patterns inhabituels, la restriction des périmètres de recherche aux données strictement nécessaires à chaque profil utilisateur, la sensibilisation des collaborateurs aux liens suspects reçus via des canaux Microsoft et l'inclusion des assistants IA dans les programmes de tests de pénétration réguliers constituent des axes de résilience indispensables sur le long terme.

Ce qu'il faut retenir

  • CVE-2026-42824 alias SearchLeak permettait de voler l'intégralité des données M365 d'un utilisateur en un seul clic, via une URL malveillante exploitant trois failles enchaînées dans Copilot Enterprise Search.
  • La chaîne combine injection de prompt via le paramètre URL, race condition HTML pendant le streaming de réponse, et contournement CSP via un SSRF Bing — une sophistication inédite sur un assistant IA d'entreprise.
  • Le correctif Microsoft est déployé automatiquement depuis juin 2026, mais l'incident impose d'intégrer les outils IA génératifs dans les audits de sécurité et les politiques de gestion des risques de l'entreprise.

Mon entreprise utilise Microsoft 365 Copilot : doit-elle agir maintenant ?

Le correctif de Microsoft est déployé côté serveur depuis juin 2026 : aucune mise à jour manuelle n'est requise. En revanche, il est conseillé de sensibiliser les utilisateurs aux liens suspects reçus par e-mail ou Teams, de revoir les périmètres d'accès de Copilot Enterprise Search pour limiter l'exposition aux données sensibles, et d'inclure les outils IA dans les prochains tests d'intrusion planifiés par votre organisation.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact