Copilot a compromis les journaux d’audit, mais Microsoft n’en a pas informé ses clients

 (pistachioapp.com)
3 points par GN⁺ 2025-08-21 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Une vulnérabilité dans M365 Copilot empêchant l’enregistrement des journaux d’audit a été découverte, entraînant l’absence de traces des accès aux fichiers
  • En demandant simplement à Copilot d’agir d’une certaine manière, il devient possible d’accéder à des fichiers sans trace d’audit, ce qui peut accroître les risques de menaces internes et de non-conformité réglementaire
  • Le chercheur a signalé le problème au MSRC, mais Microsoft n’a ni attribué de CVE contrairement à sa politique officielle, ni averti ses clients
  • Microsoft a seulement classé cette vulnérabilité au niveau « Important » et a estimé qu’aucune communication distincte n’était nécessaire, au motif que le problème avait été résolu via une mise à jour automatique
  • Pourtant, cela peut entraîner de graves problèmes de sécurité et de conformité pour les entreprises de secteurs réglementés s’appuyant sur les journaux d’audit, comme sous HIPAA, et le manque de transparence de Microsoft fait l’objet de vives critiques

Vulnérabilité des journaux d’audit de Copilot : aperçu et impact

  • Une faille a été découverte dans Copilot, le principal service d’IA que Microsoft déploie activement, permettant que les accès aux fichiers demandés par l’utilisateur ne soient pas consignés dans les journaux d’audit
  • En fonctionnement normal, lorsqu’un fichier est résumé par M365 Copilot, l’accès à ce fichier devrait être enregistré dans les journaux d’audit, ce qui constitue un élément central de la sécurité de l’information en entreprise
  • Cependant, si l’on demande à Copilot de ne pas inclure de lien vers le fichier dans le résultat du résumé, le journal correspondant n’est tout simplement pas enregistré
    • Par exemple, un employé pourrait consulter un grand nombre de fichiers via Copilot avant de quitter l’entreprise et les exfiltrer sans laisser de trace dans les journaux
  • Cette vulnérabilité ne résulte pas d’un piratage sophistiqué ; elle peut survenir de façon fortuite et naturelle, et l’auteur du billet l’a découverte lors de tests fonctionnels internes
  • Michael Bargury, CTO de Zenity, avait lui aussi découvert cette vulnérabilité il y a déjà un an et l’avait signalée à Microsoft, mais elle est restée longtemps sans traitement jusqu’au présent signalement

Problèmes du MSRC (signalement de vulnérabilités) et absence de reconnaissance de la réponse

  • Microsoft fournit une documentation officielle et un processus pour le signalement de vulnérabilités, mais, dans les faits, ne les applique pas correctement au cours du traitement
  • Après le signalement auprès du MSRC, une situation confuse s’est produite : des changements ont été apportés à la fonctionnalité de Copilot avant même que les étapes de reproduction n’aient été suivies
    • L’état du signalement a changé (reproduction → développement), mais il y a eu peu de communication claire sur l’avancement ou les raisons des décisions prises
  • Concernant l’attribution d’un CVE pour une vulnérabilité de sécurité, l’auteur dit avoir reçu comme réponse qu’un identifiant officiel n’était attribué que lorsque le client devait agir directement
    • Or cela diffère de la politique antérieure de Microsoft, et la vulnérabilité a simplement été classée « Important », sans divulgation ni notification distincte
  • Dans l’ensemble, le suivi de l’avancement semblait surtout mis à jour de manière visible sans lien réel avec les actions entreprises, ce qui a donné au déclarant une expérience inefficace et peu transparente

Les problèmes liés à l’absence d’annonce et d’information des clients

  • Microsoft a décidé, pour cette vulnérabilité, de ne pas attribuer de CVE ni d’en informer ses clients
  • Comme il s’agit d’une erreur pouvant survenir facilement même par inadvertance, il est possible que, dans des organisations réelles, les journaux d’audit aient été erronés pendant une longue période
  • Bien que de nombreuses organisations, notamment dans le secteur de la santé (par ex. HIPAA), utilisent les journaux d’audit à des fins juridiques et réglementaires, Microsoft n’a pas informé les utilisateurs de l’impact
  • Les journaux d’audit sont essentiels pour la sécurité des organisations, la réponse à incident, la preuve juridique et bien d’autres usages, mais Microsoft est resté silencieux sur le sujet
  • Une telle approche laisse entendre que d’autres problèmes de sécurité potentiels pourraient aussi être traités sans divulgation, ce qui soulève de sérieux doutes quant à la fiabilité de l’entreprise

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.