SearchLeak : la faille silencieuse qui a transformé Microsoft 365 Copilot en mouchard
Publié le 16 juin 2026 à 12h45 Cyberguerre Sécurité informatique B2B Entreprise SearchLeak : la faille silencieuse qui a transformé Microsoft 365 Copilot en mouchard En plusieurs étapes 3 min Amine Baba Aissa Amine Baba...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Un progrès notable façonne le secteur de l’IA : Publié le 16 juin 2026 à 12h45 Cyberguerre Sécurité informatique B2B Entreprise SearchLeak : la faille silencieuse qui a transformé Microsoft 365 Copilot en mouchard En plusieurs étapes 3 min Amine Baba Aissa Amine Baba Aissa 3 min 3 min Amine Baba Aissa Amine Baba Aissa Ne plus voir cette pub Lecture Zen Résumer l'article Résumé de l'article Résumé par IA, vérifié par Numerama ? Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info. En savoir plus Les chercheurs de Varonis Threat Labs ont découvert la faille « SearchLeak », permettant de déjouer Microsoft 365 Copilot Enterprise grâce à une manipulation astucieuse d'URL.
En exploitant la fonctionnalité de pré-remplissage de requêtes et des failles de synchronisation HTML, l'attaque détourne les mécanismes de sécurité pour exfiltrer des données confidentielles. Microsoft a corrigé cette vulnérabilité à haut risque à travers une mise à jour serveur, tandis que Varonis conseille de surveiller les paramètres suspects pour éviter les attaques similaires. Les chercheurs de Varonis Threat Labs ont découvert la faille « SearchLeak », permettant de déjouer Microsoft 365 Copilot Enterprise grâce à une manipulation astucieuse d'URL.
Détails techniques
En exploitant la fonctionnalité de pré-remplissage de requêtes et des failles de synchronisation HTML, l'attaque détourne les mécanismes de sécurité pour exfiltrer des données confidentielles. Microsoft a corrigé cette vulnérabilité à haut risque à travers une mise à jour serveur, tandis que Varonis conseille de surveiller les paramètres suspects pour éviter les attaques similaires. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Les quipes de chercheurs en s curit de Varonis Threat Labs ont trouv comment transformer l'assistant IA de Microsoft en complice silencieux d'un vol de donn es, sans plugin, en un seul clic, et sans que la victime ne s'en aper oive.
Il a fallu attendre que trois vuln rabilit s prises isol ment, et plut t banales, se rencontrent pour donner naissance l'une des failles les plus s rieuses jamais document es sur un assistant IA d'entreprise. Baptis e SearchLeak et r v l e le 15 juin 2026 par le chercheur Dolev Taler de Varonis Threat Labs, l'attaque cible Microsoft 365 Copilot Enterprise et a obtenu de l'entreprise am ricaine sa note de gravit maximale avant d' tre corrig e. Elle est d sormais r f renc e sous l'identifiant CVE-2026-42824.
// Source : Varonis Threat Labs Le param tre q, l' l ment d clencheur Le point d'entr e est un d tail d'ergonomie, d j document dans d'autres attaques manipulant les chatbots IA : la fonction de recherche de Copilot accepte un param tre q dans son URL, destin pr -remplir une requ te en langage naturel.
Cette avancée envoie des signaux importants sur l’avenir du secteur, et le monde de la tech observe attentivement.
