SearchLeak : la faille silencieuse qui a transformé Microsoft 365 Copilot en mouchard

Numerama : Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

Il a fallu attendre que trois vulnérabilités prises isolément, et plutôt banales, se rencontrent pour donner naissance à l’une des failles les plus sérieuses jamais documentées sur un assistant IA d’entreprise.

Baptisée SearchLeak et révélée le 15 juin 2026 par le chercheur Dolev Taler de Varonis Threat Labs, l’attaque cible Microsoft 365 Copilot Enterprise et a obtenu de l’entreprise américaine sa note de gravité maximale avant d’être corrigée.

Elle est désormais référencée sous l’identifiant CVE-2026-42824.

Le point d’entrée est un détail d’ergonomie, déjà documenté dans d’autres attaques manipulant les chatbots IA : la fonction de recherche de Copilot accepte un paramètre « q » dans son URL, destiné à pré-remplir une requête en langage naturel.