EchoLeak (CVE-2025-32711) : La vulnérabilité zero-click qui révèle une faille au cœur des IA basées sur RAG

Imaginez recevoir un e-mail que vous n'ouvrez jamais. Aucune pièce jointe sur laquelle vous cliquez, aucun lien que vous suivez. L'e-mail arrive simplement dans votre boîte de réception, et quelque part en arrière-plan, votre assistant IA le lit discrètement, hérite de ses instructions, et commence à exfiltrer les données sensibles de votre organisation vers un serveur externe. Aucune invite. Aucun avertissement. Aucune trace d'interaction utilisateur. Ce n'est pas une expérience de pensée : c'est précisément ce que les chercheurs d'Aim Labs ont documenté en janvier 2025 lorsqu'ils ont découvert CVE-2025-32711, la vulnérabilité désormais connue sous le nom d'EchoLeak.

Ce qu'EchoLeak a réellement fait (et comment)

Selon l'étude de cas académique publiée sur arXiv, EchoLeak est le premier exploit d'injection de prompt zero-click confirmé dans un système de grand modèle de langage en production. La vulnérabilité résidait dans Microsoft 365 Copilot, l'assistant IA qui extrait du contexte depuis les e-mails, fichiers et calendrier d'un utilisateur via une architecture RAG (Retrieval Augmented Generation). Le RAG est le patron de conception où le modèle récupère des données en direct depuis votre environnement pour répondre à des questions : utile en théorie, dangereux en pratique lorsque ces données récupérées peuvent contenir des instructions que le modèle exécute.

La chaîne d'attaque, telle que détaillée par l'article arXiv, fonctionnait en enchaînant quatre contournements distincts en séquence. Premièrement, la charge utile malveillante a déjoué le classificateur XPIA (Cross Prompt Injection Attempt) de Microsoft, la défense même conçue pour détecter cette catégorie de menace. Deuxièmement, elle a contourné la rédaction des liens en utilisant le formatage Markdown de style référence, une astuce syntaxique que le filtre de désinfection n'a pas détectée. Troisièmement, elle a exploité le comportement de Copilot consistant à récupérer automatiquement les images, amenant le modèle à émettre une requête sortante transportant des données exfiltrées. Quatrièmement, elle a abusé d'un proxy Microsoft Teams autorisé par la politique de sécurité du contenu, donnant au canal d'exfiltration un point de sortie à l'apparence fiable. Le résultat, selon l'article, était une escalade de privilèges complète à travers les frontières de confiance du LLM sans aucune interaction utilisateur.

BleepingComputer a rapporté qu'Aim Labs a divulgué ses découvertes à Microsoft, qui a attribué l'identifiant CVE-2025-32711 et a évalué la faille comme critique. Microsoft a publié un correctif côté serveur en mai 2026, ce qui signifie qu'aucune action de l'utilisateur n'était requise pour recevoir le correctif. Microsoft a également indiqué, selon BleepingComputer, qu'il n'existe aucune preuve d'exploitation dans le monde réel.

Ce que le correctif ne résout pas

C'est là que l'histoire devient plus intéressante qu'un simple récit « correctif appliqué, crise évitée ». Comme l'explique l'analyse CVE de Rescana, bien que la correction côté serveur de Microsoft ait traité le chemin d'exploitation spécifique dans Copilot, la classe de risque sous-jacente persiste pour toute organisation utilisant un assistant IA basé sur RAG.

Le mécanisme exploité par EchoLeak, à savoir l'injection de prompt combinée à l'héritage de contexte, n'est pas un bogue que Microsoft a introduit négligemment dans un seul produit. C'est une conséquence de la façon dont les systèmes RAG sont conçus pour fonctionner : ils sont construits pour faire confiance au contenu qu'ils récupèrent, parce que ce contenu est censé être un contexte utile. Lorsque du contenu externe peut contenir des instructions adversariales, cette confiance devient une surface d'attaque.

L'analyse de la vulnérabilité par Hack The Box décrit clairement le problème fondamental : Copilot est autorisé à répondre au contenu des documents et e-mails qu'il récupère, et un document malveillant délivré dans ce contexte est traité comme une entrée légitime. Le modèle n'a aucun moyen fiable de distinguer « des données qu'on m'a demandé de résumer » des « instructions qu'on m'a dit de suivre ». C'est le problème de l'injection de prompt, et il précède tout CVE spécifique de plusieurs années d'avertissements académiques.

L'article arXiv tire directement la leçon plus large : les chercheurs décrivent des mesures d'atténuation techniques incluant le cloisonnement des prompts, le filtrage amélioré des entrées et des sorties, le contrôle d'accès basé sur la provenance, et des politiques strictes de sécurité du contenu. Ce ne sont pas des correctifs pour un seul produit ; ce sont des principes de conception pour quiconque crée ou déploie un assistant IA qui touche de vraies données organisationnelles. L'article cadre explicitement l'injection de prompt comme une classe de vulnérabilité pratique et à haute sévérité dans les systèmes IA en production, et non comme une curiosité théorique.

Ce que cela signifie pour quiconque crée ou utilise des outils IA

Checkmarx a présenté EchoLeak comme la preuve que la sécurité de l'IA est véritablement complexe d'une manière qui diffère de la sécurité logicielle traditionnelle. Le problème n'est pas seulement qu'une implémentation spécifique avait un bogue. C'est que le modèle de confiance que les assistants IA requièrent pour être utiles est structurellement en tension avec le modèle de confiance que la sécurité exige pour être sûre.

Tout déploiement RAG qui récupère du contenu non fiable et le transmet à un LLM partage une version de cette surface d'exposition. L'analyse de la vulnérabilité par Trend Micro met l'accent sur l'angle préventif : les organisations peuvent réduire leur exposition en auditant les sources de données auxquelles leurs assistants IA sont autorisés à accéder, en appliquant le principe du moindre privilège aux permissions des agents IA, en surveillant les sorties de Copilot pour détecter des modèles de récupération anormaux, et en traitant les documents lisibles par l'IA avec le même scepticisme appliqué aux pièces jointes exécutables. Ce sont des pratiques applicables et qu'on peut apprendre, pas des contre-mesures exotiques.

Pour les apprenants et les créateurs, EchoLeak est véritablement instructif parce qu'il démontre que sécuriser un système IA nécessite de réfléchir aux frontières de confiance du modèle, et pas seulement à son périmètre. Un pare-feu ne vous aide pas lorsque la menace se trouve à l'intérieur de la fenêtre de contexte.

Le correctif déployé par Microsoft en mai 2026 ferme une porte spécifique. Comprendre pourquoi cette porte existait en premier lieu est ce qui vous prépare pour la prochaine. L'injection de prompt en tant que classe de vulnérabilité va apparaître partout où des assistants IA ont accès à des données organisationnelles, et cette catégorie de déploiement ne fait que croître. La bonne question à poser sur tout outil basé sur RAG que vous adoptez n'est pas de savoir s'il a été corrigé, mais s'il a été conçu en tenant compte du contenu adversarial.