IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft Copilot au cœur d'une controverse sur la gestion des données sensibles en entreprise : les utilisateurs découvrent qu'ils peuvent accéder sans autorisation aux documents des RH et aux courriels du PDG

Le , par Stéphane le calme

59PARTAGES

6  0 
Depuis son lancement, Microsoft Copilot, un assistant intelligent intégré à des outils tels que Microsoft 365, a suscité un grand intérêt pour sa capacité à automatiser et à simplifier les tâches quotidiennes. Cependant, une récente controverse a émergé : des utilisateurs ont découvert que Copilot permettait d'accéder à des informations sensibles, notamment des documents de ressources humaines (RH) ou des emails de dirigeants. Cette révélation met en lumière à la fois les possibilités offertes par cette technologie et les défis en matière de sécurité des données.

Qu'est-ce que Microsoft Copilot ?

Microsoft Copilot est un assistant basé sur l'intelligence artificielle, conçu pour intégrer les capacités de modèles de langage avancés, tels que ceux de GPT, dans des environnements professionnels. Il vise à améliorer la productivité en générant des résumés, en automatisant la rédaction de documents, ou encore en aidant à organiser des données complexes. Intégré dans des applications comme Word, Excel ou Teams, il offre un support précieux pour les utilisateurs, des employés aux cadres.

Cependant, comme pour toute innovation technologique, son implémentation n'est pas sans risques. L’objectif ambitieux de Copilot est de fournir des réponses pertinentes en s'appuyant sur les données accessibles à un utilisateur, mais cet aspect a suscité des inquiétudes lorsque des failles potentielles dans le contrôle des accès ont été découvertes.

Un accès non maîtrisé aux données sensibles

Les utilisateurs de Copilot ont récemment signalé que l'outil pouvait accéder à des informations qu'ils n'étaient pas censés consulter. Cela inclut des documents RH, tels que des contrats de travail ou des rapports de performance, ainsi que des emails d'une importance stratégique envoyés par des PDG. Cette situation a fait surgir plusieurs questions :
  • Pourquoi ces données sont-elles accessibles via Copilot ?Microsoft Copilot fonctionne en exploitant l'intégralité des données auxquelles un utilisateur a accès dans son environnement professionnel. Si les permissions des fichiers ou des bases de données ne sont pas configurées correctement, l'assistant peut, par inadvertance, fournir des réponses ou des informations tirées de sources sensibles.
  • Un problème de configuration ou de conception ? Dans la plupart des cas rapportés, le problème semble résider dans une mauvaise gestion des droits d'accès au niveau des fichiers ou des applications associées. Cependant, cela soulève également des interrogations sur la conception même de l'outil. Un assistant doté d'une telle puissance devrait inclure des mécanismes plus robustes pour empêcher l'accès accidentel à des données sensibles.

Implications pour les entreprises

La révélation de cette faille a de profondes implications pour les organisations.
  1. Risques pour la sécurité des données : Les entreprises collectent et stockent des données sensibles, des informations financières aux dossiers personnels des employés. Si ces données deviennent accessibles de manière non autorisée via un outil tel que Copilot, cela pourrait entraîner des violations des réglementations sur la protection des données, comme le RGPD en Europe.
  2. Atteinte à la confidentialité : La confidentialité des communications internes, notamment celles des cadres dirigeants, est essentielle pour protéger la stratégie et les intérêts d’une organisation. La divulgation accidentelle d’emails de PDG pourrait nuire à la réputation ou à la compétitivité d’une entreprise.
  3. Perte de confiance : Les employés pourraient perdre confiance dans les systèmes technologiques s’ils craignent que leurs informations personnelles puissent être accessibles à des collègues ou à des tiers.

Comment Microsoft répond à la controverse

Aujourd'hui, le géant du logiciel tente de résoudre le problème. Mardi, Microsoft a publié de nouveaux outils et un guide pour aider les clients à atténuer le problème de sécurité de Copilot, qui a permis aux employés d'accéder par inadvertance à des informations sensibles, telles que les courriels du PDG et les documents des ressources humaines.

Ces mises à jour sont conçues pour « identifier et atténuer les problèmes de partage excessif et de gouvernance », a expliqué l'entreprise dans un nouveau plan pour la suite logicielle de productivité 365 de Microsoft.


« De nombreux défis en matière de gouvernance des données dans le contexte de l'IA n'ont pas été causés par l'arrivée de l'IA », a déclaré un porte-parole de Microsoft. L'IA est simplement le dernier appel à l'action lancé aux entreprises pour qu'elles gèrent de manière proactive leurs documents internes et autres informations, a ajouté le porte-parole.

Ces décisions dépendent de la situation unique de chaque entreprise. Selon le porte-parole de Microsoft, des facteurs tels que les réglementations sectorielles spécifiques et la tolérance au risque doivent guider ces décisions. Par exemple, différents employés devraient avoir accès à différents types de fichiers, d'espaces de travail et d'autres ressources.

« Microsoft aide ses clients à améliorer leur gouvernance centrale des identités et des autorisations, afin d'aider les organisations à mettre à jour et à gérer en permanence ces contrôles fondamentaux », a déclaré le porte-parole.

La magie de Copilot (sa capacité à créer une présentation de 10 diapositives ou à convoquer une liste des produits les plus rentables de votre entreprise) fonctionne en parcourant et en indexant toutes les informations internes de votre entreprise, à l'instar des robots d'indexation utilisés par les moteurs de recherche.

Historiquement, les services informatiques de certaines entreprises ont mis en place des autorisations laxistes pour déterminer qui pouvait accéder aux documents internes (en sélectionnant « autoriser tous », par exemple, pour le logiciel RH de l'entreprise, plutôt que de se donner la peine de sélectionner des utilisateurs spécifiques).

Cela n'a jamais posé de problème, car il n'existait pas d'outil permettant à un employé moyen d'identifier et de récupérer les documents sensibles de l'entreprise (jusqu'à ce que Copilot soit mis en place). Par conséquent, certains clients ont déployé Copilot pour découvrir qu'il pouvait permettre aux employés de lire la boîte de réception d'un dirigeant ou d'accéder à des documents RH sensibles.

« Désormais, lorsque Joe Blow se connecte à un compte et désactive Copilot, il peut tout voir », a déclaré un employé de Microsoft au courant des plaintes des clients. « Tout à coup, Joe Blow peut voir les courriels du PDG ».

Les limites actuelles de l’IA générative

Cet incident illustre un problème plus large dans l'adoption des outils d'intelligence artificielle générative en entreprise. Ces outils, bien qu'extrêmement performants, manquent souvent de contextes humains pour éviter des erreurs graves.

Recommandations pour les entreprises

Pour tirer parti de Copilot tout en minimisant les risques, les entreprises devraient :
  • Auditer régulièrement les permissions d'accès : S’assurer que les documents sensibles ne sont accessibles qu’à ceux qui en ont besoin.
  • Former les employés : Les sensibiliser à l'utilisation de ces outils et aux bonnes pratiques en matière de gestion des données.
  • Collaborer avec les éditeurs : Travailler étroitement avec Microsoft pour adapter les paramètres de l’outil aux besoins spécifiques de l’entreprise.

La fonction controversée Windows Recall a signé son retour

Microsoft a annoncé la fonction Recall lors de l'événement Build en mai. Recall est une fonction basée sur l'IA pour les PC Copilot+. Elle suit toutes les activités d'un PC Windows afin de faciliter les recherches ultérieures en utilisant le langage nature. Pour ce faire, Recall est censée capturer les données de toutes les applications, sauf si vous en excluez une, en prenant une série de captures d'écran et en stockant ces interactions dans une base de données. La fonction Recall s'exécute localement. Elle peut fonctionner sans connexion Internet et même lorsque vous n'êtes pas connecté à votre compte Microsoft.

Mais Recall est décriée par les experts en sécurité. Si quelqu'un d'autre que vous accède aux données collectées par Recall, les conséquences pourraient être désastreuses. Cela peut vous sembler familier, Recall est remarquablement similaire à la fonctionnalité Timeline de Windows 10, qui a échoué et a été mise de côté. Mais contrairement à Timeline, Recall ne se contente pas de restaurer une version de vos fichiers de bureau, il utilise l'IA pour vous ramener à ce moment, en ouvrant même les applications pertinentes. Un pirate qui parvient à trouver et exploiter une faille dans Recall pourrait causer des dégâts énormes.

Quels sont les risques potentiels auxquels Microsoft Recall expose les utilisateurs de Windows 11 ?
  • Vous utilisez un ordinateur public : disons que vous faites des achats ou des opérations bancaires en ligne sur un ordinateur de la bibliothèque. Vous n'avez pas réalisé que Recall était actif. Cela permettrait à la personne qui utilise l'ordinateur après vous vient d'aller dans les archives de Recall pour récupérer toutes vos coordonnées bancaires, votre adresse et vos mots de passe. C'est comme remettre les clés de votre maison à un cambrioleur avant de lui dire que vous partez en vacances pour la semaine.
  • Vous utilisez un ordinateur portable professionnel : Votre patron, votre équipe informatique et toute personne ayant accès à votre appareil pourront voir quel usage vous faites de l’appareil. Ils peuvent s'en servir pour suivre votre rendement au travail et même lire les messages privés que vous envoyez à d'autres personnes.
  • Vous utilisez un PC familial : si vous utilisez l'ordinateur familial et que vous n'avez pas de profil protégé par un mot de passe, n'importe qui peut entrer et ouvrir votre historique de rappel. Si vous avez fait quelque chose de peu recommandable, cela va se voir, même si vous avez supprimé l'historique de vos recherches
  • Vous êtes victime d'un piratage ou votre ordinateur portable est volé : si quelqu'un vole votre ordinateur portable et que vous ne disposez pas d'un mot de passe fort pour le verrouiller, un cybercriminel peut utiliser Microsoft Recall pour entrer en possession de vos données et informations personnelles.

Pourquoi ces risques sont-ils de l’ordre du plausible ? Parce que Microsoft souligne dans la Foire Aux Questions relative à cette fonctionnalité que « Recall n'effectue pas de modération de contenu. Il ne cache pas les informations telles que les mots de passe ou les numéros de comptes financiers. Ces données peuvent se trouver dans des instantanés stockés sur votre appareil, en particulier lorsque les sites ne respectent pas les protocoles Internet standard tels que la dissimulation de la saisie du mot de passe. »

En d’autres termes, Microsoft Recall est un outil qui stocke vos mots de passe, vos informations, les détails de votre compte, etc. et qui est visible par tous les utilisateurs de votre profil. Si vous n'avez qu'un seul profil pour votre appareil, cela signifie que toutes les personnes ayant accès à ce PC pourront voir vos données Recall.


Face au tollé provoqué par la situation, Microsoft a tenté de répondre aux préoccupations avec une seconde version de son outil : la fonction serait désactivée par défaut au lieu d'être activée, les utilisateurs devraient s'authentifier à nouveau avec Windows Hello avant d'accéder aux données Recall, et les données Recall stockées localement seraient protégées par un chiffrement supplémentaire. Recall peut désormais être entièrement supprimé d'un système à l'aide des paramètres des « fonctionnalités optionnelles » de Windows.

Conclusion : une innovation à double tranchant

Microsoft Copilot représente un pas en avant significatif dans l’utilisation de l’IA pour booster la productivité, mais cet incident met en lumière les défis liés à son implémentation. À mesure que les entreprises adoptent ces outils, elles doivent être vigilantes pour équilibrer innovation et sécurité. Si des mesures proactives sont prises pour renforcer le contrôle des accès, Copilot pourrait bien devenir un atout incontournable du monde professionnel.

Source : Microsoft

Et vous ?

La technologie IA peut-elle réellement différencier des données sensibles de celles qui ne le sont pas ?

Qui est responsable en cas de fuite de données causée par un outil comme Copilot : Microsoft, l'entreprise utilisatrice ou les équipes IT ?

Les entreprises ont-elles aujourd’hui une maîtrise suffisante de la configuration des permissions sur leurs systèmes internes ?

Quels mécanismes supplémentaires Microsoft pourrait-il implémenter pour renforcer la sécurité des données sensibles ?

À quel point est-il réaliste d’espérer qu’un outil aussi puissant reste totalement sécurisé et fiable dans des environnements complexes ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 27/11/2024 à 12:23
Pas besoin de faire de grand discours... Cette news confirme simplement que Microsoft se croit tout permis et considère que les données privées de ses clients sont des données publiques pour elle!

Si vous êtes actuellement derrière votre PC Windows bien au chaud dans votre bureau croyant être dans l'intimité de votre chez soi... Ben oubliez! Microsoft est installé sur votre épaule en train d'espionner tout ce que vous faites...
5  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 22/11/2024 à 11:23
C'est marrant de voir des entreprises qui paniquent parce que des employés ont accès à des données confidentielles, mais qui ne se posent absolument pas la question quand elles partagent/upload leurs données sur pleins de clouds qui ne leur appartiennent pas!

Je suppose que c'est le principe de "ce qui ne se voit pas n'existe pas".

Citation Envoyé par Stéphane le calme Voir le message
La technologie IA peut-elle réellement différencier des données sensibles de celles qui ne le sont pas ?
Bien sûr que non.

Citation Envoyé par Stéphane le calme Voir le message
Qui est responsable en cas de fuite de données causée par un outil comme Copilot : Microsoft, l'entreprise utilisatrice ou les équipes IT ?
Une GAFAM ne sera jamais responsable. Et puis vu son argent, bonne chance pour essayer de faire valoir vos "droits".
Ce sera l'entreprise qui va payer plein pot, et c'est normal, puisque c'est l'entreprise qui a fait ces (mauvais) choix.
Au mieux, une entreprise fera un procès qui lui coûtera affreusement cher pendant une dizaine d'années.

Citation Envoyé par Stéphane le calme Voir le message
Les entreprises ont-elles aujourd’hui une maîtrise suffisante de la configuration des permissions sur leurs systèmes internes ?
Ni aujourd'hui ni demain.
Comment maîtriser ce qui est externe? (ces systèmes n'ont d'interne que le nom, vu que tout fuit vers des services Cloud).
Si vous me confiez vos données, est-ce que vous en avez encore la maîtrise?

Citation Envoyé par Stéphane le calme Voir le message
Quels mécanismes supplémentaires Microsoft pourrait-il implémenter pour renforcer la sécurité des données sensibles ?
Hmmm... La sécurité des données sensibles est-elle la priorité de Microsoft?
On peut sérieusement se poser la question quand on voit qu'ils poussent pour Recall, malgré les alertes de leurs propres ingénieurs sécurité...

Citation Envoyé par Stéphane le calme Voir le message
À quel point est-il réaliste d’espérer qu’un outil aussi puissant reste totalement sécurisé et fiable dans des environnements complexes ?
Le problème ne vient pas de la "puissance" d'un outil mais de son intégration à tout un tas de systèmes et à la complexité engendrée.
Aucune chance que ça soit réaliste, donc.

EDIT:
Pour ce qui est du schéma "recall security architecture", je ne vois pas comment les points 1, 2, 3 et 4 peuvent protéger d'un attaquant.

Lorsqu'un utilisateur installe un keylogger, ou lance un cryptolocker, ce n'est pas un attaquant physique qui effectue le travail.

C'est l'utilisateur lui-même qui va le faire, en cliquant sur ce qu'il considère être quelque chose de légitime. Le prompter pour du windows hello, de la biométrie, ou même ses informations hypothécaires s'il le faut n'y changera absolument rien: le programme exécuté aura les droits sur cette "secure enclave" et n'aura plus qu'à exfiltrer les données...

Bref, c'est juste pour donner un sentiment de sécurité sur une fonctionnalité qui n'est qu'un spyware déguisé.

Vive les GAFAM...
1  0