Microsoft Copilot : des sites web pourraient envoyer secrètement des commandes à l'IA

Microsoft a corrigé une vulnérabilité critique dans Copilot lors du « Patch Tuesday » du 14 juillet. Répertoriée sous le numéro CVE-2026-48561, elle affiche un score CVSS de 9,6 sur 10, ce qui la classe parmi les vulnérabilités les plus graves du mois. C’est Ofek Levin, de la société de sécurité Enclave, qui l’a signalée.
Il suffisait d’un simple site web
La voie d’attaque passait par le navigateur. Selon Microsoft, un attaquant pouvait héberger un site web malveillant capable de tromper Microsoft Edge pour Android afin qu’il envoie des invites spécialement conçues à Copilot sur l’appareil. Il suffisait de consulter la page.
Le véritable problème résidait dans la manière dont ces requêtes étaient traitées. Le composant concerné les acceptait sans demander de confirmation et ne vérifiait jamais leur provenance ; les invites passaient donc inaperçues pour l’utilisateur. Microsoft indique que cela pourrait entraîner des actions involontaires dans Copilot, telles que la lecture ou la modification de données. L’entreprise classe cette faille dans la catégorie des injections de commandes.
Ces applications sont répertoriées dans l’avis de sécurité
Microsoft cite deux produits concernés : Microsoft 365 Copilot pour iOS et Microsoft 365 Copilot pour Android. La description de l’attaque ne mentionne toutefois que Microsoft Edge pour Android. Microsoft ne fournit aucune explication quant à cette divergence.
Un autre élément retient l’attention. Les liens de mise à jour figurant dans l’avis ne renvoient vers aucune application Copilot sur l’une ou l’autre des plateformes. Ils renvoient vers Microsoft Edge dans l’App Store et sur Google Play. Microsoft ne mentionne à aucun moment le numéro de build contenant le correctif, et les notes de mise à jour d’Edge Mobile ne font pas non plus référence à cette faille. La dernière version pour Android et iOS, 150.0.4078.65, a été publiée le 13 juillet.
Ce que vous devez faire dès maintenant
Tout d’abord, la bonne nouvelle. La faille n’était pas connue du public avant le « Patch Tuesday », et Microsoft affirme qu’elle n’a jamais été exploitée. Il n’existe aucun exploit fonctionnel, et Microsoft estime lui-même que l’exploitation de cette faille est peu probable. Elle ne figure pas sur la liste des vulnérabilités connues pour avoir été exploitées établie par la CISA.
Étant donné que Microsoft ne précise pas de version, la solution la plus simple est de maintenir à jour l’application Copilot et Microsoft Edge sur votre téléphone, via le Play Store sur Android ou l’App Store sur iOS. Et si vous n’utilisez jamais Copilot sur votre téléphone, supprimez-le simplement.
Ce n’est pas le premier cas de ce genre
Les attaques qui s’immiscent entre les utilisateurs et leurs assistants IA sont de plus en plus courantes. Fin juin, des bloqueurs de publicités déguisés ont fait leur apparition ; pouvaient lire les conversations avec ChatGPT et Gemini. Si vous souhaitez savoir quelles informations vos assistants IA stockent à votre sujet et comment désactiver cette fonctionnalité, consultez notre présentation des paramètres de stockage vous explique la marche à suivre. Et si vous préférez que Copilot ne fasse pas partie de votre journée de travail, vous pouvez désactiver Copilot et Facilitator dans Microsoft Teams.
Source(s)
Top 10
» Le Top 10 des PC portables multimédia
» Le Top 10 des PC portables de jeu
» Le Top 10 des PC portables de jeu légers
» Le Top 10 des ordinateurs portables bureautiques
» Le Top 10 des PC portables bureautiques premium/professionnels
» Le Top 10 des Stations de travail mobiles
» Le Top 10 des Ultraportables
» Le Top 10 des Ultrabooks
» Le Top 10 des Convertibles
» Le Top 10 des Tablettes
» Le Top 10 des Tablettes Windows
» Le Top 10 des Smartphones
» Le Top 10 des PC Portables á moins de 300 euros
» Le Top 10 des PC Portables á moins de 500 euros
» Le Top 25 des meilleurs écrans d'ordinateurs






