Microsoft 365 Copilot est aujourd’hui adopté par de nombreuses PME pour gagner en productivité. Mais une faille critique découverte en juin 2026, baptisée SearchLeak, montre que l’IA peut aussi devenir une porte d’entrée pour les cybercriminels. Voici ce que vous devez savoir et, surtout, ce que vous devez faire.
Une vulnérabilité critique au cœur de Copilot 365
La faille SearchLeak affecte Microsoft 365 Copilot Enterprise — la version professionnelle intégrée à votre tenant Microsoft 365. Elle permet à un attaquant, via une URL spécialement construite, d’exploiter Copilot pour accéder aux données sensibles d’un utilisateur ciblé : sa boîte mail, ses fichiers OneDrive ou encore ses documents SharePoint.
Le tout, en un seul clic de la victime. Pas besoin de mot de passe volé, pas de logiciel malveillant installé sur le poste. L’attaque passe par les fonctions de recherche et de traitement de l’information propres à Copilot, détournées de leur usage normal.
La bonne nouvelle : Microsoft a été notifié et travaille sur un correctif. La mauvaise : tant que votre tenant n’est pas à jour, le risque est réel.
Comment fonctionne l’attaque SearchLeak ?
SearchLeak exploite une chaîne de vulnérabilités dans la façon dont Copilot 365 traite les requêtes et accède aux ressources de votre organisation. En envoyant un lien piégé à un collaborateur connecté à Copilot, un attaquant peut déclencher une requête silencieuse qui extrait des e-mails confidentiels, des contrats ou des données RH.
Le vecteur d’attaque est particulièrement insidieux : il passe par des canaux légitimes (Teams, e-mail, liens partagés) et ne génère aucune alerte visible pour l’utilisateur. C’est ce qu’on appelle une attaque par injection de prompt indirecte : Copilot est manipulé pour exécuter des instructions cachées dans un contenu qu’il lit.
Pour une PME dont les données clients, financières ou RH transitent dans Microsoft 365, l’impact potentiel est majeur.
Les données les plus exposées dans votre PME
Les ressources accessibles via Copilot 365 sont aussi celles les plus convoitées par les attaquants :
- Boîte mail Exchange : devis, contrats, échanges avec clients et fournisseurs
- OneDrive professionnel : documents stratégiques, rapports financiers, fichiers RH
- SharePoint : bases de connaissances internes, procédures, manuels opérationnels
Plus un utilisateur dispose de droits larges dans votre tenant, plus l’impact d’une exploitation de SearchLeak est élevé. Les comptes administrateurs et les membres de la direction sont donc des cibles prioritaires.
Ce que ça change pour votre PME
- Appliquez immédiatement les mises à jour Microsoft 365 : vérifiez dans le centre d’administration Microsoft 365 que votre tenant est bien à jour et que les correctifs liés à Copilot sont appliqués.
- Limitez les droits d’accès de Copilot au strict nécessaire : auditez les autorisations de chaque utilisateur Copilot. Un commercial n’a pas besoin d’accéder aux données RH via Copilot. Appliquez le principe du moindre privilège.
- Sensibilisez vos collaborateurs aux liens suspects : l’attaque nécessite un clic sur un lien piégé. Rappelez à vos équipes de ne jamais cliquer sur un lien inattendu, même s’il semble provenir d’un collègue.
Vous souhaitez auditer la configuration de Copilot 365 dans votre organisation et vous assurer que vos données sont protégées ? Contactez nos experts Axentys.