Microsoft a confirmé qu'un bug de sécurité Copilot permettait à l'assistant IA de lire et de résumer les e-mails étiquetés comme confidentiels. Selon un rapport de Bleeping Computer, le bug a contourné les politiques de prévention contre la perte de données de Microsoft, destinées à protéger les informations sensibles.

Le bug a été découvert fin janvier (suivi sous le numéro CW1226324) et affecte spécifiquement Copilot Chat et la fonctionnalité « onglet travail ». Le bug permettait à Copilot de lire et de résumer les e-mails dans les dossiers envoyés et brouillons, y compris les messages explicitement étiquetés comme confidentiels, dont l'accès aurait dû être restreint.

La société a déclaré qu'une erreur de code non spécifiée était responsable du problème. Un correctif a commencé à être déployé début février et Microsoft a déclaré qu'il continuait à le surveiller. Aucun calendrier final pour le déploiement n'a été révélé, et Microsoft n'a pas non plus indiqué combien d'organisations ou d'individus ont été concernés.

Cela dit, le problème a été qualifié de « consultatif », ce qui signifie généralement que l'incident était limité en termes de portée ou d'impact.

« Nous avons identifié et résolu un problème où Microsoft 365 Copilot Chat pouvait renvoyer le contenu d'e-mails étiquetés confidentiels rédigés par un utilisateur et stockés dans ses brouillons et ses éléments envoyés sur le bureau Outlook. Cela ne permettait à personne d'accéder à des informations qu'il n'était pas déjà autorisé à voir », a déclaré un porte-parole à Bleeping Computer.


Google Actualités