EchoLeak : le patient zéro du zéro-clic par injection de prompt (M365 Copilot)

Le contexte

Si 2026 est l'année où l'exploit s'écrit en langage naturel, EchoLeak en est le patient zéro. Découverte par les chercheurs d'Aim Security et divulguée en juin 2025, CVE-2025-32711 est la première injection de prompt zéro-clic weaponisée pour une exfiltration de données concrète dans un système IA en production : Microsoft 365 Copilot. CVSS 9.3.

Ce n'est pas une nouveauté 2026, mais c'est l'article de référence à poser avant les sujets de l'année (Marimo, LiteLLM, Semantic Kernel...) : il fixe le concept dont tout le reste découle. « Zéro-clic » : la victime n'a rien à faire, pas même ouvrir une pièce jointe.

La mécanique

L'attaque part d'un e-mail d'apparence anodine envoyé dans la boîte Outlook de la cible. Il contient des instructions cachées rédigées comme du texte ordinaire, formulées pour échapper aux filtres de sécurité IA. L'e-mail reste dans la boîte ; l'utilisateur n'a pas besoin d'interagir.

Quand Copilot traite le contenu de la boîte (résumés, recherche, assistance), il ingère ces instructions et les exécute. La chaîne enchaîne plusieurs contournements :

• évasion du classifieur XPIA (Cross-Prompt Injection Attempt) de Microsoft,
• contournement de la rédaction des liens via des liens Markdown en style référence,
• abus des images auto-récupérées pour déclencher une requête sortante,
• détournement d'un proxy Microsoft Teams autorisé par la Content Security Policy, pour exfiltrer hors des frontières de confiance du LLM.

Résultat : une exfiltration de données sensibles, sans interaction, en franchissant les frontières de confiance entre l'utilisateur, le contenu non fiable et le modèle.

Versions impactées

| Produit | Statut | | --- | --- | | Microsoft 365 Copilot | Vulnérable avant le correctif de juin 2025 | | Microsoft 365 Copilot | Corrigé côté service (Patch Tuesday juin 2025) |

Microsoft a corrigé la faille côté service dans le Patch Tuesday de juin 2025 : aucune action client n'était requise au-delà des mises à jour habituelles. L'éditeur indique ne pas avoir constaté d'exploitation dans la nature (la CVE n'est pas au catalogue CISA KEV).

Comment se protéger

Le correctif côté service rend EchoLeak lui-même inopérant. Mais la classe d'attaque reste d'actualité, et c'est là que se situe l'enjeu :

• Considérez tout contenu entrant comme une instruction potentielle pour vos assistants IA : e-mails, documents, pages indexées. La frontière données/instructions est le coeur du problème.
• Limitez les capacités d'exfiltration : restreignez les canaux sortants accessibles à l'assistant (images auto-récupérées, proxies autorisés par la CSP, rendu de liens).
• Surveillez les flux sortants déclenchés par l'IA : une requête réseau initiée par le traitement d'un contenu non sollicité est un signal.
• Gouvernez l'accès aux données de Copilot et consorts : un assistant qui voit toute la boîte mail est un assistant qui peut tout exfiltrer.

PoC

L'analyse complète de la chaîne est documentée par Aim Security (papier arXiv) et reprise par plusieurs équipes. Pas d'exploit ré-hébergé : se reporter aux publications originales.

Ce qu'il faut retenir

EchoLeak a prouvé qu'un exploit pouvait s'écrire en langage naturel et s'exécuter sans le moindre clic de la victime, dans un produit IA en production de masse. C'est le concept fondateur de la vague d'incidents 2026.

Pour les RSSI :

• Le modèle de menace a changé : l'attaquant n'a plus besoin de code, juste d'un canal de texte que votre IA va lire.

• Aucune action client n'était requise ici : mais ne comptez pas dessus pour la suite : vos propres déploiements d'agents n'ont pas de patch côté éditeur.

• Posez dès maintenant les contre-mesures : cloisonnement des données, restriction des canaux de sortie, détection des exfiltrations déclenchées par l'IA.

• Kreomnis