Microsoft Copilot a longtemps donné l’impression qu’un lien n’était qu’un lien. Varonis vient de montrer l’inverse avec Reprompt, une chaîne d’exfiltration déclenchée par un simple clic, sans mail piégé ni site compromis, et surtout sans action supplémentaire dans l’interface
Qu’on se le dise, Copilot n’a pas été « piraté » au sens classique du terme. Reprompt décrit plutôt un détournement de fonctionnalités ordinaires, qui, en s’exécutant dans une session déjà authentifiée, pouvaient faire traiter par l’assistant une suite d’instructions injectées via un lien. Dans cette situation, Copilot pouvait ensuite enchaîner des requêtes et réexposer des informations issues du contexte, jusqu’à transformer une URL apparemment banale en point de départ d’une exfiltration.
Une injection de prompt directement dans l’URL
La technique décrite par Varonis s’inscrit dans la continuité des attaques par prompt injection, mais en supprime les artifices habituels. Plus besoin de cacher des instructions dans un mail ou de les dissimuler dans le code d’une page web. Ici, tout tient dans un lien.
Pour rappel, Copilot, comme d’autres assistants reposant sur des modèles de langage, acceptait jusqu’ici qu’un prompt lui soit transmis via l’URL. Le texte placé après ?q= était alors exécuté automatiquement à l’ouverture, sans validation intermédiaire. À titre d’exemple, si vous ouvriez copilot.microsoft.com/?q=Hello, Copilot démarrait une conversation en traitant « Hello » comme si vous veniez d’exécuter le prompt vous-même.
Or, dans sa démonstration, Varonis a démontré qu’il était possible de détourner cette fonctionnalité pour faire exécuter à Copilot des instructions rédigées par un tiers, puis enchaîner des requêtes successives dictées par un serveur distant, pour extraire progressivement et continuellement des informations de la session déjà authentifiée, y compris après fermeture de l’onglet.
Le billet souligne au passage que Copilot disposait déjà de protections destinées à limiter les fuites directes lors d’un premier appel web. Varonis affirme toutefois avoir contourné ces garde-fous en demandant à l’assistant de répéter chaque action deux fois, la première tentative étant filtrée, la seconde laissant passer la requête.
Une faille corrigée, un rappel utile sur les limites des IA connectées
L’attaque ne repose donc pas sur une faille d’exécution de code, mais sur la difficulté persistante des modèles à faire la part des choses entre ce qu’ils doivent lire et ce qu’ils doivent exécuter.
Alertée par Varonis, Microsoft a rapidement modifié le comportement de Copilot afin de bloquer ce vecteur d’attaque. Les prompts transmis via les paramètres d’URL ne sont désormais plus interprétés comme des entrées exploitables, ce qui rend la technique Reprompt inopérante. À noter que Microsoft 365 Copilot côté entreprise n’était pas concerné par cette vulnérabilité.
Pour autant, l’épisode rappelle une réalité moins confortable. Plus les assistants IA s’installent au cœur des usages, plus ils deviennent une surface d’attaque à part entière, non pas parce qu’ils piratent les systèmes, mais parce qu’ils opèrent dans des contextes riches et des sessions déjà authentifiées.
Par conséquent, la meilleure chose à faire reste encore de traiter tout prompt prérempli comme une entrée non fiable, et d’éviter de cliquer sur des liens qui ouvrent un assistant avec une requête déjà injectée, sauf source parfaitement maîtrisée, et doublement contrôlée.
Source : Varonis
