watch·ia
AccueilActusTutosGlossaireCette semaineTendancesSources
À chaud
15:28Administration Trump vs Anthropic : qui profite de la répression contre l'IA ?·15:28Administration Trump vs Anthropic : qui profite de la répression contre l'IA ?·15:28Administration Trump vs Anthropic : qui profite de la répression contre l'IA ?·15:28Administration Trump vs Anthropic : qui profite de la répression contre l'IA ?·
Actus·Politique2facopilot

Faille critique dans Microsoft Copilot : des pirates exploitent une vulnérabilité pour voler des codes 2FA

mardi 16 juin 202611:151 min de lecture1 source citée
L'essentiel — 3 points
  • 01Une faille critique dans Microsoft Copilot a permis à des pirates de voler des codes 2FA via une manipulation des requêtes.
  • 02L’exploitation, nommée *SearchLeak*, exploite les faiblesses des LLM en matière de protection des données.
  • 03Les éditeurs doivent renforcer les protocoles de sécurité des interfaces utilisateur pour éviter de nouvelles attaques.
Faille critique dans Microsoft Copilot : des pirates exploitent une vulnérabilité pour voler des codes 2FA

Une faille de sécurité critique dans Microsoft Copilot a été exploitée par des pirates pour intercepter des codes d’authentification à deux facteurs (2FA) des utilisateurs. Identifiée comme une vulnérabilité majeure, elle a permis aux attaquants de récupérer ces codes sensibles sans interaction directe avec les victimes, soulignant les risques liés aux modèles de langage intégrés dans des outils grand public.

Les chercheurs en cybersécurité ont démontré que l’exploitation de cette faille reposait sur une manipulation des requêtes envoyées à Copilot, redirigeant les flux de données vers des serveurs contrôlés par les pirates. Cette technique, baptisée SearchLeak, révèle les lacunes des protocoles de sécurité actuels pour les LLM, souvent conçus sans mesures de protection adaptées contre des attaques ciblant les données en transit ou en mémoire.

L’incident met en lumière l’urgence pour les éditeurs de renforcer la sécurisation des interfaces utilisateur des LLM, notamment en implémentant des mécanismes de chiffrement renforcé et de validation stricte des entrées/sorties. Microsoft n’a pas encore communiqué sur les correctifs déployés ou les mesures préventives envisagées pour limiter les risques futurs.

Réagir :
Partager —XLinkedIn
Sources citées
Ars Technica AI
2facopilotsécuritévulnérabilité
À lire aussi

Articles liés

Voir tout
AVANCÉ
LLM17 juin

Sécuriser une application LLM : prompt injection et fuites de données

Les apps IA ouvrent une surface d'attaque nouvelle. Prompt injection, exfiltration de données, outils détournés : les risques et les parades.

1 min
Les agents IA deviennent des employés : NewCore lève 66M$ pour leur attribuer des identités
Business15 juin

Les agents IA deviennent des employés : NewCore lève 66M$ pour leur attribuer des identités

Analyse de l'émergence de NewCore, une startup spécialisée dans la gestion des identités des agents IA en entreprise, avec une levée de fonds record et une vision sur l'évolution de la cybersécurité face à cette nouvelle réalité.

1 min1 source
ACQUISITIONS
Business13 juin

OpenAI acquiert Ona, cible les opérations d'influence chinoises et étend Codex via Oracle Cloud

OpenAI renforce sa position avec l'acquisition d'Ona pour étendre Codex, lutte contre les opérations d'influence chinoises ciblant les débats technologiques américains, et facilite l'accès à ses modèles via Oracle Cloud pour les entreprises.

1 min3 sources