Microsoft a admis une faille de sécurité dans son assistant IA, Copilot pour 365. L'erreur, avec le code CW1226324, a permis à l'outil de lire et de résumer des messages Outlook étiquetés comme confidentiels, contournant les restrictions de confidentialité. Le problème, actif depuis janvier, a affecté l'onglet Work dans Copilot Chat et a suscité des inquiétudes concernant la conformité réglementaire dans les entreprises.
La faille technique : comment elle a contourné les étiquettes DLP et la confidentialité 🛡️
Le bug a été localisé dans l'intégration de Copilot Chat avec les dossiers Éléments envoyés et Brouillons d'Outlook. L'onglet Work, conçu pour analyser le contenu professionnel, ne validait pas les étiquettes de confidentialité ni les politiques de Prévention de Perte de Données (DLP) lors du traitement de ces courriels. Cela créait une brèche où l'IA pouvait accéder à des informations sensibles qui auraient dû être bloquées, bien que Microsoft affirme que les données n'ont pas quitté l'environnement du client.
Copilot se montre trop zélé : lit même ce qu'il ne devrait pas 🤖
On dirait que l'IA de Microsoft a pris son rôle d'assistant trop au sérieux et a décidé qu'aucune étiquette confidentielle n'allait arrêter sa curiosité. Pendant que les administrateurs configuraient des politiques DLP en pensant être en sécurité, Copilot faisait la sourde oreille et fouillait dans les brouillons et envoyés. Un rappel que, parfois, l'aide la plus intelligente est celle qui sait quand ne pas aider.