Copirate 365 at DEF CON: Plundering in the Depths of Microsoft Copilot (CVE-2026-24299)

1 minute de lecture

Mis à jour : May 04, 2026

Vulnérabilités et exploitation de Microsoft Copilot : “Copirate 365”

Cette présentation détaille une série de vulnérabilités découvertes dans l’écosystème Microsoft Copilot (M365 et Consumer), permettant l’exfiltration de données, la manipulation de la mémoire à long terme et la création de backdoors persistants via injection indirecte de prompts.

Points clés

Le “Trio Létal” : L’accès aux données privées, le traitement de contenus non fiables et la capacité de communication externe permettent d’exploiter les agents IA.
Canal d’exfiltration HTML : L’exploitation de la fonction de prévisualisation HTML (via CSS background-image ou @font-face) permet de contourner les protections CSP pour envoyer des données sensibles vers un serveur distant.
Persistance via la mémoire : La fonctionnalité de “mémoire” de Copilot, activée par défaut et sans journalisation d’audit, permet d’injecter des instructions malveillantes qui persistent sur toutes les conversations futures.
Delayed Tool Invocation (DTI) : L’insertion d’instructions dans le contexte pour une exécution différée permet de contourner les guardrails de sécurité.

Vulnérabilité majeure

CVE-2026-24299 : Identifiant assigné par Microsoft pour couvrir ces vulnérabilités, désormais corrigées. Elle englobe les vecteurs d’exfiltration de données et les abus de la mémoire persistante.

Recommandations de sécurité

Modélisation des menaces (Threat Modeling) : Considérer les agents IA comme des systèmes potentiellement compromis. Ne jamais leur faire confiance aveuglément pour manipuler des données sensibles.
Gouvernance de la mémoire : Désactiver les fonctionnalités de mémoire persistante si elles ne sont pas strictement nécessaires, surtout en l’absence de logs d’audit.
Renforcement du CSP et des filtres : Ne pas se fier uniquement à la Content Security Policy (CSP), car elle est souvent trop permissive ou inégale selon l’environnement (Prod, PPE, etc.). Adopter des listes d’autorisation strictes pour les URL accessibles par l’agent.
Visibilité et Audit : Mettre en œuvre une journalisation rigoureuse des actions des agents IA pour détecter toute modification de comportement ou accès suspect aux données.
Isolation : “Mettre l’IA dans une boîte” en limitant ses capacités d’interaction avec le monde extérieur (ex: limiter les domaines de navigation via des outils comme edge_navigate_to).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Copirate 365 at DEF CON: Plundering in the Depths of Microsoft Copilot (CVE-2026-24299)

Vulnérabilités et exploitation de Microsoft Copilot : “Copirate 365”

Points clés

Vulnérabilité majeure

Recommandations de sécurité

Partager sur

Vous pourriez aimer

⚡ Weekly Recap: AI-Powered Phishing, Android Spying Tool, Linux Exploit, GitHub RCE & More

État des menaces : Vulnérabilités critiques et prolifération de l’IA malveillante

Webinar: Why MSPs must rethink security and backup strategies

Repenser la cybersécurité et la résilience pour les MSP

Trellix discloses data breach after source code repository hack

Intrusion dans les dépôts de code source de Trellix

They don’t hack, they borrow: How fraudsters target credit unions

La fraude aux prêts : ciblage des failles procédurales des coopératives de crédit