Microsoft a avoué avoir découvert un bug dans le code de son assistant IA. Durant plusieurs semaines, l'assistant a résumé des messages pourtant marqués comme confidentiels. Autant dire que la situation est plutôt embarrassante.
Les entreprises qui utilisent Microsoft 365 peuvent apposer des étiquettes de confidentialité sur leurs e-mails. Il s'agit d'une sorte de marquage numérique permettant de signaler qu'un message est sensible et qu'il ne doit donc pas être traité par des outils automatiques. Les clients de Microsoft peuvent aussi mettre en place des politiques DLP (Data Loss Prevention, ou prévention des pertes de données), c'est-à-dire des règles qui bloquent la circulation des données sensibles vers des destinations non autorisées. Ces deux mécanismes sont censés empêcher Copilot d'accéder à ces contenus.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quand un bug passe à travers les garde-fous
Le bug, référencé sous l'identifiant CW1226324 a été détecté pour la première fois le 21 janvier 2026. Il concerne l'onglet "Work" de Copilot Chat. Cette version professionnelle de l'assistant a été intégrée en septembre 2025 dans les applications Microsoft 365 (Word, Excel, Outlook, PowerPoint, OneNote) pour les abonnés payants. Dans ce mode, Copilot peut interroger les données de l'environnement de travail : fichiers, calendriers, boîtes mail. Sauf qu'une erreur de code lui a ouvert l'accès aux dossiers Envoyés et Brouillons, même lorsque ces messages portaient un label de confidentialité.
Microsoft a publié une alerte de service : "Une erreur de code permet aux éléments des dossiers Envoyés et Brouillons d'être récupérés par Copilot, même lorsque des labels confidentiels sont en place."
Un correctif en cours, sans calendrier précis
Selon BleepingComputer, qui rapporte l'information, Microsoft indique avoir commencé à déployer un correctif début février 2026. Au moment de la publication, la société surveillait toujours le déploiement et contactait une partie des utilisateurs concernés pour vérifier que ce patch fonctionnait correctement. Aucun calendrier définitif n'a été communiqué pour une résolution complète du bug. L'entreprise n'a pas non plus précisé combien d'organisations ou d'utilisateurs ont été touchés.
Le moins qu'on puisse dire, c'est que cet incident donne raison au service informatique du Parlement européen, lequel vient d'annoncer qu'il allait bloquer les fonctionnalités IA intégrées sur les appareils professionnels des élus. Bruxelles craint précisément que ces outils ne transmettent des correspondances confidentielles vers le cloud. D'ailleurs, ce n'est pas non plus la première fois que Copilot se retrouve au cœur d'une problématique de sécurité. En juin 2025, nous rapportions une faille zero-click critique permettant d'exfiltrer des données via un simple mail piégé, pour extraire des informations sensibles.
Pour en savoir plus, les administrateurs peuvent consulter cette page.
