Discussion :

[Stéphane le calme]

Microsoft affirme qu'un bug pousse Copilot à résumer des e-mails confidentiels :
un incident qui démontre que l'IA d'entreprise et le principe de moindre privilège sont encore loin d'être réconciliés chez Microsoft 365

Microsoft a confirmé l'existence d'un bug critique dans Microsoft 365 Copilot, permettant à l'assistant IA de résumer des e-mails pourtant étiquetés « confidentiels » et protégés par des politiques de prévention des pertes de données. Actif depuis fin janvier 2026 et révélé au grand public mi-février, l'incident soulève des questions fondamentales sur la maturité sécuritaire des IA intégrées dans les environnements professionnels — et sur la robustesse réelle des garde-fous que les entreprises croient avoir mis en place.

Depuis septembre 2025, les abonnés payants de Microsoft 365 Business ont accès à Copilot Chat, l'assistant IA intégré à Word, Excel, PowerPoint, Outlook et OneNote. Son principe de fonctionnement repose sur une intégration profonde avec Microsoft Graph : pour répondre à une question, Copilot parcourt l'ensemble du corpus documentaire et de messagerie de l'utilisateur, extrait les éléments pertinents, les charge dans son contexte et génère une réponse synthétique. C'est précisément cette capacité qui le rend utile — et potentiellement dangereuse si les mécanismes de contrôle d'accès fléchissent.

Selon une alerte de service, le bug (référencé CW1226324 et détecté pour la première fois le 21 janvier) affecte la fonctionnalité « work tab » de Copilot Chat, qui lit et résume de manière incorrecte les e-mails stockés dans les dossiers Éléments envoyés et Brouillons des utilisateurs, y compris les messages portant des étiquettes de confidentialité explicitement conçues pour restreindre l'accès aux outils automatisés.

En clair : des e-mails que les équipes de sécurité avaient soigneusement classifiés, sur lesquels des politiques DLP (Data Loss Prevention) avaient été configurées pour empêcher tout traitement automatisé, se retrouvaient quand même résumés — et potentiellement exposés — par l'IA. Le mécanisme de protection, censé constituer le dernier rempart avant le gouffre de l'IA générative, ne fonctionnait tout simplement pas.

Anatomie d'un bug à fort impact de conformité

Pour comprendre la gravité de l'incident, il faut revenir sur l'architecture de protection que Microsoft propose autour de Copilot. Microsoft Purview permet aux organisations d'apposer des étiquettes de sensibilité sur leurs documents et e-mails : « Confidentiel », « Usage interne uniquement », « Hautement restreint », etc. Ces étiquettes peuvent déclencher le chiffrement, restreindre le transfert, appliquer des filigranes, et surtout — via les politiques DLP — interdire à Copilot d'ingérer le contenu concerné dans ses réponses.

Le bug CW1226324, détecté autour du 21 janvier 2026 suite à des signalements clients, a conduit Copilot Chat à inclure de manière incorrecte des éléments des dossiers Éléments envoyés et Brouillons dans son ensemble de récupération, même lorsque ces e-mails portaient des étiquettes de sensibilité et des protections de politique DLP.

Le point de défaillance se situait donc précisément dans la phase de retrieval — l'étape où l'assistant sélectionne les contenus pertinents avant de les injecter dans son contexte de génération. Un défaut dans ce chemin de code permettait aux éléments protégés de "passer à travers" le filtre, rendant caduques toutes les protections configurées en aval. Une petite erreur logique dans le chemin de récupération pouvait ainsi convertir une boîte mail contrôlée en une base de connaissances consultable par l'assistant IA.

Pourquoi les dossiers Éléments envoyés et Brouillons sont-ils particulièrement sensibles ? Parce qu'ils contiennent souvent les communications les plus délicates : contrats finalisés avant envoi, correspondances légales en cours de rédaction, documents confidentiels transmis en externe, données personnelles non encore expurgées. Un bug « limité » à ces deux dossiers est en réalité d'une redoutable portée métier.

Des semaines d'exposition silencieuse

La chronologie de l'incident est instructive. Le 21 janvier 2026, la télémétrie de Microsoft a signalé pour la première fois un comportement anormal de Copilot lié aux étiquettes confidentielles. Fin janvier et début février, des clients et des administrateurs IT ont remarqué que Copilot Chat retournait des résumés référençant des éléments confidentiels dans les dossiers Éléments envoyés et Brouillons, malgré les étiquettes de sensibilité et les politiques DLP en place.

Le NHS britannique a répertorié l'incident en interne sous la référence INC46740412, indiquant que le problème avait un impact réel pour les utilisateurs du secteur public s'appuyant sur Microsoft 365. Ce détail est loin d'être anecdotique : il illustre que le bug n'a pas seulement touché des entreprises privées, mais aussi des organisations dont les obligations de confidentialité relèvent du droit public, voire d'impératifs de santé publique.

Microsoft a indiqué avoir commencé à déployer un correctif début février. Un porte-parole de la société n'a pas répondu à une demande de commentaire, notamment à une question sur le nombre de clients touchés par le bug. Cette opacité sur le périmètre exact de l'incident est précisément ce qui irrite les responsables de la sécurité informatique : sans savoir combien de tenants ont été affectés, ni sur quelle durée exacte, il est difficile de conduire une analyse d'impact rigoureuse.

La tentation du « fail-open » : un antipatterne dans la sécurité de l'IA

Le bug Copilot illustre parfaitement l'un des antpaternes les plus dangereux de la sécurité informatique : le comportement fail-open, c'est-à-dire le fait qu'en cas d'erreur, le système s'ouvre plutôt qu'il ne se ferme. La logique inverse — fail-closed, ou principe de refus par défaut — veut qu'en cas de doute sur les droits d'accès, un système refuse l'opération plutôt que de la laisser passer.

Le système Copilot a été conçu avec un accès étendu aux données utilisateurs pour fournir une assistance complète, et dans ce cas, cette philosophie de conception est entrée en conflit avec les frontières de sécurité établies. C'est là le nœud du problème : l'IA générative est, par nature, conçue pour maximiser la récupération d'information pertinente. La tentation d'un accès le plus large possible, pour le bénéfice de l'utilisateur, entre structurellement en tension avec le principe du moindre privilège qui guide la sécurité défensive.

Ce qui rend la situation encore plus préoccupante, c'est que les outils DLP traditionnels n'ont pas été conçus pour surveiller ou contrôler ce type de flux de données. Comme l'observe un analyste cité dans les discussions de la communauté IT : une IA n'accède pas aux données comme un utilisateur humain le ferait — elle ingère, traite et génère des réponses selon une logique de récupération vectorielle qui échappe aux modèles de contrôle classiques.

Un contexte de méfiance institutionnelle croissante

L'incident s'inscrit dans un climat général de prudence croissante à l'égard des assistants IA dans les environnements professionnels sensibles. En mars 2024, la Chambre des représentants des États-Unis avait interdit à son personnel d'utiliser Microsoft Copilot, craignant que des données parlementaires sensibles ne soient transmises ou stockées en dehors des réseaux gouvernementaux autorisés.

Plus récemment, le Parlement européen a emboîté le pas. Le département informatique du Parlement européen a indiqué à ses parlementaires qu'il avait bloqué les fonctionnalités IA intégrées sur les appareils de travail, en raison de préoccupations selon lesquelles les outils IA pourraient télécharger des correspondances potentiellement confidentielles vers le cloud. Cette décision, prise de manière préventive, acquiert rétrospectivement une certaine clairvoyance à la lumière du bug CW1226324.

Il faut également rappeler qu'en début 2025, des chercheurs en sécurité avaient déjà divulgué une autre faille baptisée EchoLeak (CVE-2025-32711), une vulnérabilité zero-click dans Microsoft 365 Copilot permettant théoriquement à des attaquants de récupérer des informations sensibles via Microsoft Graph et les API Outlook par manipulation des prompts système. Le bug actuel n'est donc pas un incident isolé, mais s'inscrit dans un historique de tensions entre l'architecture d'accès de Copilot et les exigences de confidentialité des entreprises.

Que doivent faire les administrateurs ?

En attendant la saturation complète du correctif, plusieurs actions s'imposent pour les équipes de sécurité. Premièrement, consulter le centre d'administration Microsoft 365 sous la référence CW1226324 et vérifier si votre tenant figure parmi les organisations contactées par Microsoft pour validation de la remédiation. Les administrateurs sont conseillés de surveiller le centre d'administration Microsoft 365 pour les mises à jour sous la référence CW1226324 et d'examiner les journaux d'activité Copilot pour tout accès anormal à des contenus étiquetés.

Deuxièmement, exporter et analyser les journaux d'audit Purview pour la période du 21 janvier au début février 2026, en recherchant spécifiquement des interactions Copilot Chat impliquant des éléments des dossiers Éléments envoyés et Brouillons portant des étiquettes de confidentialité. Pour les boîtes mail à haut risque — directions juridiques, RH, équipes dirigeantes — il peut être prudent de conduire un échantillonnage manuel et de placer les logs correspondants sous conservation légale si des données réglementées (RGPD, HIPAA, données financières) semblent avoir été traitées.

À plus long terme, cet incident plaide pour une reconsidération de l'architecture de déploiement de Copilot dans les environnements sensibles : restreindre l'accès de l'assistant aux seules boîtes mail dont les utilisateurs ont explicitement consenti au traitement IA, mettre en place une surveillance spécifique des interactions Copilot distincte des outils DLP traditionnels, et exiger de Microsoft une transparence accrue — idéalement des APIs d'audit à destination des tenants permettant de valider de manière autonome que les politiques DLP sont bien respectées par l'assistant.

Source : Microsoft

Et vous ?

Faites-vous confiance aux mécanismes de contrôle d'accès natifs de Microsoft pour protéger vos données dans Copilot, ou avez-vous mis en place des solutions de gouvernance IA tierces ?

La philosophie « fail-open » des LLM (maximiser la pertinence au risque d'exposer des données) est-elle fondamentalement incompatible avec les exigences de conformité des secteurs régulés comme la santé ou la finance ?

Ce type d'incident devrait-il déclencher des obligations de notification aux autorités de contrôle (CNIL, etc.) au même titre qu'une violation de données classique ?

Microsoft n'ayant pas communiqué sur le nombre de tenants affectés, pensez-vous que les éditeurs de cloud IA devraient être soumis à une obligation légale de transparence sur les incidents touchant les politiques DLP ?

[ec]

Il faut être inconscient aujourd'hui pour utiliser une IA américaine au sein de ses applicatifs. Les USA travaillent pour eux-mêmes et si nous leur donnons la porte ouverte à nos données ils les utiliserons pour eux-mêmes.

[Aiekick]

je répète un principe simple a comprendre.

Ce qu'ils peuvent faire sans qu'on le sache avec nos données, il faut considérer qu'il le font. Aucun blabla, promesses ou autre ne nous protège de quoi que ce soit.

1ere règle de en sécurité informatique : Un système est vulnérable tant qu'il est accessible, c'est pareil pour les données.