Agents IA indiscrets: une faille critique expose des données confidentielles
Les agents IA bénéficient de larges permissions d'action accordées par leurs utilisateurs. Des chercheurs ont démontré, à partir du système Copilot de Microsoft, comment des hackers malveillants pourraient exploiter ces libertés. Microsoft a depuis corrigé la faille, mais d'autres systèmes pourraient être concernés.
Un assistant toujours disponible, qui prend en charge les tâches répétitives et ennuyeuses, tout en aidant à organiser et planifier… c’est ainsi que les géants technologiques présentent leurs nouveaux agents IA. Pour accomplir leur mission, ces outils doivent disposer de droits d’accès étendus au système de l’utilisateur.
Mais ces droits étendus peuvent aussi poser un problème de sécurité. Un exemple concret nous est fourni par les chercheurs de l’entreprise Aim Security. Avec Echoleak, ils présentent ce qu’ils appellent la première faille IA à zéro clic, comme ils l’expliquent dans un billet de blog. L’expression zéro clic fait référence au fait que l’utilisateur ciblé n’a rien à faire. Il lui suffit de laisser l’agent IA accomplir sa tâche.
«LLM Scope Violation»
Les chercheurs qualifient cette attaque de «LLM Scope Violation» (violation du périmètre d’un LLM), qu’ils définissent ainsi: il s’agit de situations où des instructions spécifiques, envoyées par un attaquant à un grand modèle de langage (LLM), à partir de données non fiables, poussent le modèle à traiter des données de confiance dans son contexte, sans le consentement explicite de l’utilisateur. Selon eux, cela enfreint «le principe du moindre privilège». Un message e-mail provenant de l’extérieur d’une organisation, par exemple, est considéré comme peu privilégié: il ne devrait pas être en mesure d’accéder à des données internes, surtout lorsqu’il est traité par un LLM.
Microsoft a corrigé
L’attaque Echoleak a été testée sur Microsoft 365 et son agent IA Copilot. Aim Security a informé Microsoft de ses découvertes en janvier 2025. Microsoft a pris des mesures correctives et a comblé cette faille critique en mai 2025, sous le code CVE-2025-32711. Selon l’entreprise, la vulnérabilité n’a jamais été exploitée en conditions réelles.
Mais pour Aim Security, le problème dépasse ce cas spécifique. Dans son billet de blog, l’entreprise souligne que l’attaque repose sur des défauts de conception généraux, que l’on retrouve aussi dans d’autres applications basées sur la RAG (Retrieval-Augmented Generation) et dans de nombreux agents IA.
Adir Gruss, cofondateur et CTO d’Aim Security, estime que d’autres entreprises d’IA doivent agir, comme il l’a déclaré au magazine Fortune. À long terme, une refonte complète de la manière dont les agents IA sont conçus sera nécessaire, selon lui. «Le fait que les agents traitent à la fois des données fiables et non fiables dans un même processus de pensée est le défaut fondamental de conception qui les rend vulnérables», conclut-il.
