Archives par mot-clé : Outlook

Cybersécurité, Espionnage Spy, IA

Bug Copilot Chat expose des e-mails confidentiels

Depuis fin janvier 2026, un bug dans Microsoft 365 Copilot permettrait de lire et résumer des mails pourtant marqués confidentiels, en contournant des politiques censées empêcher l’IA d’analyser ces contenus.

Des développeurs de Microsoft ont signalé un dysfonctionnement de Microsoft 365 Copilot : Copilot Chat peut accéder à des courriels confidentiels et les résumer, malgré des politiques de protection contre les fuites de données prévues pour bloquer l’analyse automatisée. Le bug touche le chat de l’onglet « Travail ». Le problème concerne surtout les dossiers « Éléments envoyés » et « Brouillons », y compris des messages avec balises de confidentialité.

Un contournement silencieux des garde-fous DLP

Le point de départ ressemble à un scénario que redoutent toutes les équipes sécurité : l’outil est autorisé, l’usage est légitime, mais la barrière de protection ne joue plus son rôle. Dans ce cas précis, Microsoft 365 Copilot, via Copilot Chat, se serait mis à lire et à résumer des courriels confidentiels, alors même que des politiques de prévention des fuites de données devraient limiter l’accès des outils automatisés à ces messages.

Copilot Chat est décrit comme un chatbot contextuel, intégré à Word, Excel, PowerPoint, Outlook et OneNote, et conçu pour permettre des échanges avec des agents IA à partir du contenu de travail. L’outil est disponible pour les abonnés Microsoft 365 Entreprise depuis septembre 2025, ce qui le place au cœur des flux bureautiques et, par extension, au contact direct d’informations sensibles.

Le bug signalé ne porte pas sur un détail d’interface mais sur un principe de gouvernance : les balises de confidentialité servent précisément à empêcher des systèmes automatisés, dont Copilot, d’analyser le contenu de certains messages. Or, selon les éléments rapportés, l’assistant aurait ignoré cette contrainte dans une zone très utilisée, la fonction de chat accessible dans l’onglet « Travail ». Le risque, dans un environnement où les utilisateurs sollicitent l’IA pour gagner du temps, est mécanique : une demande anodine de synthèse peut faire remonter des informations qui n’auraient jamais dû être prises en compte par un système automatisé.

D’après Bleeping Computer, le bug est référencé CW1226324 et a été signalé pour la première fois le 21 janvier. La chronologie compte, car elle suggère une fenêtre d’exposition depuis fin janvier, période durant laquelle l’outil a pu traiter des messages censés rester hors périmètre. Dans un cadre cyber, cette temporalité est un indicateur opérationnel : plus la fenêtre est longue, plus la probabilité d’un usage involontaire, puis d’une propagation secondaire, augmente.

Éléments envoyés, brouillons, et la surface d’exposition interne

Le dysfonctionnement serait concentré sur la manière dont Copilot Chat traite les dossiers « Éléments envoyés » et « Brouillons ». C’est un détail qui pèse lourd. Les brouillons, par définition, contiennent souvent des formulations non stabilisées, des négociations en cours, des éléments juridiques avant validation, ou des fragments d’informations qui ne sont pas encore destinés à circuler. Les éléments envoyés, eux, constituent une mémoire fidèle des décisions, des engagements et des échanges sensibles avec l’extérieur. Si ces deux répertoires sont mal gérés par la logique de protection, l’IA peut devenir une interface de recherche et de synthèse sur des contenus que l’organisation a explicitement tenté de verrouiller.

Microsoft aurait attribué le bug à une erreur de code, sans fournir de détails. Ce silence technique est classique dans les incidents qui touchent à des mécanismes de sécurité internes : trop d’informations aideraient aussi les attaquants à comprendre précisément le contournement. Mais l’absence de précisions laisse les responsables sécurité dans une zone inconfortable, car ils doivent estimer l’impact sans connaître le scénario exact, ni les conditions de déclenchement.

Le correctif aurait commencé à être déployé début février. Là encore, la formulation est importante : un déploiement n’est pas une résolution instantanée. En entreprise, la réalité est faite d’environnements hétérogènes, de délais de propagation, de dépendances et de configurations spécifiques. Microsoft n’a pas communiqué de date de résolution complète, ni le nombre d’utilisateurs ou d’organisations concernés. L’entreprise a aussi précisé que l’étendue du problème pourrait évoluer au fil de l’enquête, ce qui suggère un périmètre encore en consolidation.

Sur le plan renseignement et gestion du risque, l’incident rappelle une règle dure : lorsque l’IA est imbriquée dans les outils de travail, la moindre défaillance de segmentation transforme un assistant de productivité en amplificateur de visibilité interne. Le danger n’est pas uniquement l’exfiltration externe, il est aussi l’exposition latérale, celle qui permet à une information de franchir des frontières de confidentialité à l’intérieur même de l’organisation, via des résumés, des reformulations et des requêtes contextuelles.

Ce bug met en tension deux promesses opposées : la fluidité du travail assisté par IA et la granularité des contrôles de confidentialité. Pour les défenseurs, l’enjeu n’est pas de diaboliser l’outil, mais de traiter l’IA comme un composant à privilèges, soumis aux mêmes exigences d’audit, de traçabilité et de cloisonnement que n’importe quel système sensible.

Quand l’IA sait lire, le vrai enjeu de cyber-renseignement devient de contrôler précisément ce qu’elle a le droit de comprendre.

Base de données, Cybersécurité, Entreprise, Fuite de données, IOT, loi, Mise à jour, RGPD, Securite informatique

Microsoft confronté au RGPD en raison d’une collecte de données via Word, Excel, PowerPoint et Outlook

Le gouvernement néerlandais vient de rendre public un rapport commandité à la Privacy Company et ayant pour mission de montrer du doigt la collecte de données appartenant aux utilisateurs de Word, Excel, PowerPoint et Outlook.

Selon le rapport de The Privacy Compagny, Microsoft, via Office 365 et Office 2016, collecterait des données sans l’autorisation de ses utilisateurs. Commandité par le gouvernement néerlandais, l’enquête a eu pour mission de démontrer une sauvegarde d’informations personnelles sur des serveurs américains, ce qu’interdit le Règlement Général de la Protection des Données. Seconde plainte, les utilisateurs dans l’ignorance de cette collecte. De plus, Microsoft refuse d’indiquer le contenu de cette collecte via Word, Excel, PowerPoint ou encore Outlook.

« Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Indique The Privacy Company. Et elle le fait en catimini, sans en avertir les utilisateurs. Microsoft ne précise absolument pas la quantité de données. L’entreprise ne permet pas non plus la désactivation. De savoir quelles informations sont collectées, car le flux des données est chiffré. ». Selon l’enquête, le géant américain mettrait à jour entre 23 000 et 25 000 « events » (sic!). 20 à 30 équipes d’ingénieurs travailleraient avec ces données. Windows 10 ne collecterait « que » 1 000 à 1 200 events.

Microsoft a rappelé qu’il existait une version d’Office sans le moindre transfert de données. Une mise à jour, prévue en avril 2019, doit corriger la collecte incriminée par TPC.

Cybersécurité, IOT, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Gros bugs pour Microsoft et son service de mails Outlook

Les services de courrier électronique de Microsoft (Outlook, …) ont été frappés par deux bugs aujourd’hui lundi 18 septembre. Outlook, Exchange Online ont eu des ratés comme le confirme Microsoft. Des bugs qui ont posé des « problèmes » avec « certains » utilisateurs du service Outlook.com en Europe.

Selon downdetector.com, plusieurs centaines d’utilisateurs ont signalé des problèmes tels que la difficulté à recevoir des messages et à se connecter à leurs comptes de messagerie Web (Outlook/Hotmail/Windows Live Hotmail). Pour le moment, Microsoft n’en n’a pas dit plus sur le pourquoi du comment de ces bugs à répétitions.