IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft Copilot au cœur d'une controverse sur la gestion des données sensibles en entreprise : les utilisateurs découvrent qu'ils peuvent accéder sans autorisation aux documents des RH et aux courriels du PDG

Le , par Stéphane le calme
110 commentaires

82PARTAGES

7  0 
Depuis son lancement, Microsoft Copilot, un assistant intelligent intégré à des outils tels que Microsoft 365, a suscité un grand intérêt pour sa capacité à automatiser et à simplifier les tâches quotidiennes. Cependant, une récente controverse a émergé : des utilisateurs ont découvert que Copilot permettait d'accéder à des informations sensibles, notamment des documents de ressources humaines (RH) ou des emails de dirigeants. Cette révélation met en lumière à la fois les possibilités offertes par cette technologie et les défis en matière de sécurité des données.

Qu'est-ce que Microsoft Copilot ?

Microsoft Copilot est un assistant basé sur l'intelligence artificielle, conçu pour intégrer les capacités de modèles de langage avancés, tels que ceux de GPT, dans des environnements professionnels. Il vise à améliorer la productivité en générant des résumés, en automatisant la rédaction de documents, ou encore en aidant à organiser des données complexes. Intégré dans des applications comme Word, Excel ou Teams, il offre un support précieux pour les utilisateurs, des employés aux cadres.

Cependant, comme pour toute innovation technologique, son implémentation n'est pas sans risques. L’objectif ambitieux de Copilot est de fournir des réponses pertinentes en s'appuyant sur les données accessibles à un utilisateur, mais cet aspect a suscité des inquiétudes lorsque des failles potentielles dans le contrôle des accès ont été découvertes.

Un accès non maîtrisé aux données sensibles

Les utilisateurs de Copilot ont récemment signalé que l'outil pouvait accéder à des informations qu'ils n'étaient pas censés consulter. Cela inclut des documents RH, tels que des contrats de travail ou des rapports de performance, ainsi que des emails d'une importance stratégique envoyés par des PDG. Cette situation a fait surgir plusieurs questions :
  • Pourquoi ces données sont-elles accessibles via Copilot ?Microsoft Copilot fonctionne en exploitant l'intégralité des données auxquelles un utilisateur a accès dans son environnement professionnel. Si les permissions des fichiers ou des bases de données ne sont pas configurées correctement, l'assistant peut, par inadvertance, fournir des réponses ou des informations tirées de sources sensibles.
  • Un problème de configuration ou de conception ? Dans la plupart des cas rapportés, le problème semble résider dans une mauvaise gestion des droits d'accès au niveau des fichiers ou des applications associées. Cependant, cela soulève également des interrogations sur la conception même de l'outil. Un assistant doté d'une telle puissance devrait inclure des mécanismes plus robustes pour empêcher l'accès accidentel à des données sensibles.

Implications pour les entreprises

La révélation de cette faille a de profondes implications pour les organisations.
  1. Risques pour la sécurité des données : Les entreprises collectent et stockent des données sensibles, des informations financières aux dossiers personnels des employés. Si ces données deviennent accessibles de manière non autorisée via un outil tel que Copilot, cela pourrait entraîner des violations des réglementations sur la protection des données, comme le RGPD en Europe.
  2. Atteinte à la confidentialité : La confidentialité des communications internes, notamment celles des cadres dirigeants, est essentielle pour protéger la stratégie et les intérêts d’une organisation. La divulgation accidentelle d’emails de PDG pourrait nuire à la réputation ou à la compétitivité d’une entreprise.
  3. Perte de confiance : Les employés pourraient perdre confiance dans les systèmes technologiques s’ils craignent que leurs informations personnelles puissent être accessibles à des collègues ou à des tiers.

Comment Microsoft répond à la controverse

Aujourd'hui, le géant du logiciel tente de résoudre le problème. Mardi, Microsoft a publié de nouveaux outils et un guide pour aider les clients à atténuer le problème de sécurité de Copilot, qui a permis aux employés d'accéder par inadvertance à des informations sensibles, telles que les courriels du PDG et les documents des ressources humaines.

Ces mises à jour sont conçues pour « identifier et atténuer les problèmes de partage excessif et de gouvernance », a expliqué l'entreprise dans un nouveau plan pour la suite logicielle de productivité 365 de Microsoft.


« De nombreux défis en matière de gouvernance des données dans le contexte de l'IA n'ont pas été causés par l'arrivée de l'IA », a déclaré un porte-parole de Microsoft. L'IA est simplement le dernier appel à l'action lancé aux entreprises pour qu'elles gèrent de manière proactive leurs documents internes et autres informations, a ajouté le porte-parole.

Ces décisions dépendent de la situation unique de chaque entreprise. Selon le porte-parole de Microsoft, des facteurs tels que les réglementations sectorielles spécifiques et la tolérance au risque doivent guider ces décisions. Par exemple, différents employés devraient avoir accès à différents types de fichiers, d'espaces de travail et d'autres ressources.

« Microsoft aide ses clients à améliorer leur gouvernance centrale des identités et des autorisations, afin d'aider les organisations à mettre à jour et à gérer en permanence ces contrôles fondamentaux », a déclaré le porte-parole.

La magie de Copilot (sa capacité à créer une présentation de 10 diapositives ou à convoquer une liste des produits les plus rentables de votre entreprise) fonctionne en parcourant et en indexant toutes les informations internes de votre entreprise, à l'instar des robots d'indexation utilisés par les moteurs de recherche.

Historiquement, les services informatiques de certaines entreprises ont mis en place des autorisations laxistes pour déterminer qui pouvait accéder aux documents internes (en sélectionnant « autoriser tous », par exemple, pour le logiciel RH de l'entreprise, plutôt que de se donner la peine de sélectionner des utilisateurs spécifiques).

Cela n'a jamais posé de problème, car il n'existait pas d'outil permettant à un employé moyen d'identifier et de récupérer les documents sensibles de l'entreprise (jusqu'à ce que Copilot soit mis en place). Par conséquent, certains clients ont déployé Copilot pour découvrir qu'il pouvait permettre aux employés de lire la boîte de réception d'un dirigeant ou d'accéder à des documents RH sensibles.

« Désormais, lorsque Joe Blow se connecte à un compte et désactive Copilot, il peut tout voir », a déclaré un employé de Microsoft au courant des plaintes des clients. « Tout à coup, Joe Blow peut voir les courriels du PDG ».

Les limites actuelles de l’IA générative

Cet incident illustre un problème plus large dans l'adoption des outils d'intelligence artificielle générative en entreprise. Ces outils, bien qu'extrêmement performants, manquent souvent de contextes humains pour éviter des erreurs graves.

Recommandations pour les entreprises

Pour tirer parti de Copilot tout en minimisant les risques, les entreprises devraient :
  • Auditer régulièrement les permissions d'accès : S’assurer que les documents sensibles ne sont accessibles qu’à ceux qui en ont besoin.
  • Former les employés : Les sensibiliser à l'utilisation de ces outils et aux bonnes pratiques en matière de gestion des données.
  • Collaborer avec les éditeurs : Travailler étroitement avec Microsoft pour adapter les paramètres de l’outil aux besoins spécifiques de l’entreprise.

La fonction controversée Windows Recall a signé son retour

Microsoft a annoncé la fonction Recall lors de l'événement Build en mai. Recall est une fonction basée sur l'IA pour les PC Copilot+. Elle suit toutes les activités d'un PC Windows afin de faciliter les recherches ultérieures en utilisant le langage nature. Pour ce faire, Recall est censée capturer les données de toutes les applications, sauf si vous en excluez une, en prenant une série de captures d'écran et en stockant ces interactions dans une base de données. La fonction Recall s'exécute localement. Elle peut fonctionner sans connexion Internet et même lorsque vous n'êtes pas connecté à votre compte Microsoft.

Mais Recall est décriée par les experts en sécurité. Si quelqu'un d'autre que vous accède aux données collectées par Recall, les conséquences pourraient être désastreuses. Cela peut vous sembler familier, Recall est remarquablement similaire à la fonctionnalité Timeline de Windows 10, qui a échoué et a été mise de côté. Mais contrairement à Timeline, Recall ne se contente pas de restaurer une version de vos fichiers de bureau, il utilise l'IA pour vous ramener à ce moment, en ouvrant même les applications pertinentes. Un pirate qui parvient à trouver et exploiter une faille dans Recall pourrait causer des dégâts énormes.

Quels sont les risques potentiels auxquels Microsoft Recall expose les utilisateurs de Windows 11 ?
[LIST][*]Vous utilisez un ordinateur public : disons que vous faites des achats ou des opérations bancaires en ligne sur un ordinateur de la bibliothèque. Vous n'avez pas réalisé que Recall était actif. Cela permettrait à la personne qui utilise l'ordinateur après vous vient d'aller[/*]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

110 commentaires
Commenter Signaler un problème
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 27/11/2024 à 12:23
Pas besoin de faire de grand discours... Cette news confirme simplement que Microsoft se croit tout permis et considère que les données privées de ses clients sont des données publiques pour elle!

Si vous êtes actuellement derrière votre PC Windows bien au chaud dans votre bureau croyant être dans l'intimité de votre chez soi... Ben oubliez! Microsoft est installé sur votre épaule en train d'espionner tout ce que vous faites...
6  0 
popo
Avatar de popo
Expert confirmé https://www.developpez.com
Le 14/02/2025 à 9:55
Mon expérience de Copilot me pousse à confirmer qu'au final, cela ne fait pas vraiment gagner du temps.

Copilot invente des fait lorsqu'il n'a pas la réponse.

Copilot se répète, il continue tourne en boucle sur les même réponse erronées lorsqu'il n'a pas de réponse.
C'est vraiment pénible, il commence systématiquement par s'excuser avant de redonner la même réponse.
C'est uniquement lorsqu'on lui demande explicitement d'admettre qu'il ne peut pas trouver une réponse qu'il change sa manière de répondre et se met à proposer des liens.

Copilot ne veux pas nous contredire lorsqu'on lui demande de confirmer une information incorrecte.

Copilot prend des racourcis.
Notamment après avoir identifié que plusieurs chiffres étaient identiques sur un longue série.
Lorsque finalement le chiffre change, il ne s'en aperçoit pas toujours et fausse les stats.
Ceci est particulièrement couteux en termes de temps car il au final, on doit passer derrière lui pour tout vérifier.
6  0 
TJ1985
Avatar de TJ1985
Membre chevronné https://www.developpez.com
Le 30/01/2025 à 9:37
J'ai connu l'avant-Microsoft. J'ai souffert sous DOS puis Windows, en gros jusqu'à 7.
Microsoft a habitué les gens à payer pour être bêta-testeur, et surtout à attendre la prochaine version qui sera FORCÉMENT bien plus mieux mieux.
Rétrospectivement, il est évident que si quelques améliorations fonctionnelles ont été bienvenues au début de leurs produits, l'écrasante majorité de ces releases n'a que servi de machine à cash.
En fait le niveau moyen des utilisateurs à baissé en proportion directe de la dissémination de l'informatique, ce qui est normal. Ce qui l'est moins c'est l'impossibilité apparente de former les gens à utiliser pleinement ce qu'ils ont et à toujours espérer que la miraculeuse future version comblera leur déficit de compétences.
Avec l'IA nous entrons dans un cycle où l'on peut effectivement espérer que le logiciel comprendra les infinies subtilités de mise en page indispensables à notre prochaine présentation Power Point, voire rédigé lui-même notre magnifique présentation marketing due pour la semaine passée.
Cela a un coût.
Si vous ne voulez pas d'abonnement Microsoft, pourquoi ne choisissez-vous pas LibreOffice ? Pour la bureautique générale, la petite gestion de petites entreprises, la suite offre l'indispensable, en grande partie le nécessaire et même un bout de superflu.
Et souvenez-vous que nous aussi avons un cerveau, pas seulement Copilot, ChatGPT et consorts, bien qu'ils puissent nous épauler efficacement.
6  1 
nicopan
Avatar de nicopan
Membre à l'essai https://www.developpez.com
Le 30/01/2025 à 11:13
J'ai essayé Copilot pro en version d'essai avec un à priori positif "Je vais gagnerplein de temps sur les mises en forme sous Word, il me fera les formules complexes adaptées sous Excel..."
Que nenni ! Demandez lui de structures un texte en utilisant les titres n il vous explique comment faire pas à pas. à vous de parcourir tout le texte, repérer les titres , les mettre en forme...
et ça je sais le faire sans l'IA !
Montrez lui un tableau de données nombreuses et il ne vous proposera rien de plus ni de mieux que ce que l'analyseur faisait déjà. Pour peu que vous connaissiez les fonctions avancées d'Excel Copilot vous semblera lent.

Par contre il intervient sans arret pour proposer de réecrire votre texte, le résumer... tout ça pour 22€/mois !

Et maintenant je suis obligé de le prendre ??!!

Je ne peux pas tout passer à Libre Office MS étant si bien implanté en entreprise

Encore une belle vente forcée comme ce cher Bill en avait le secret!

Pour preuve ci-dessous ma prose réécrite gratuitement par ChatGPT (demande d'un ton cynique et convivial avec exemples)

Copilot Pro : la révolution… du vide

Tout excité à l'idée d'essayer Copilot Pro, je me disais :
"Enfin ! Fini le casse-tête des mises en forme sous Word ! Plus besoin de me creuser la tête pour pondre des formules Excel tordues ! Ça va être magique."

Eh bien… spoiler alert : non.
Une "assistance" qui assiste surtout de loin

Vous voulez structurer un texte avec des titres bien propres ?
Copilot vous répond avec une belle notice explicative : "Pour ajouter des titres, sélectionnez votre texte et appliquez un style." Ah bah merci, j’y avais pas pensé…

Vous lui collez un gros tableau Excel, espérant qu’il va vous pondre des analyses intelligentes dignes d’un data scientist ? Il vous ressort… exactement ce que l’analyseur de données Excel faisait déjà depuis des lustres. Vous maîtrisez les fonctions avancées ? Alors là, préparez-vous à être désespérément déçu. Copilot, c’est un peu comme ce collègue qui donne son avis sur tout sans jamais apporter de vraie valeur.
Par contre, pour vous interrompre, il est au taquet !

Ah ça, pour réécrire votre texte, vous proposer des reformulations et vous inciter à tout résumer, il est là, Copilot. Toujours prêt à vous suggérer des modifications que personne ne lui a demandées. Et tout ça pour 22€ par mois. Oui, vingt-deux balles pour un assistant qui fait moins bien que la version gratuite de votre propre cerveau.
Et maintenant, c'est obligatoire ?

Le meilleur dans tout ça ?
Je ne peux même pas m’en passer. Parce que Microsoft est partout en entreprise et que tout balancer pour passer sous LibreOffice, c’est juste impensable.

Bref, encore une vente forcée bien ficelée, dans la grande tradition de ce cher Bill et de ses coups de génie commerciaux. Après Internet Explorer imposé d’office, voici Copilot, le stagiaire envahissant qu’on n’a jamais demandé… mais qu’on va quand même devoir payer.
5  0 
Prox_13
Avatar de Prox_13
Membre éprouvé https://www.developpez.com
Le 14/02/2025 à 10:28
Je confirme également, ayant Copilot et la suite M$360 dans mon entreprise, Copilot est d'une inutilité bluffante.

La dernière tâche que j'ai pu lui demander, c'est de refactoriser un code HTML/CSS afin de passer les règles CSS de chaque classe contenues dans la tag "<style>" pour les rapporter en inline directement à chaque tag HTML.
Donc quelque chose de bête et simple, mais chronophage. Tout ça dans le but de gagner du temps pour une template de mail compatible avec Outlook.

Et bien, sans vous mentir, Coprolot m'a ressorti EXACTEMENT le même code. Trois fois d'affilée, et lorsque je lui ai demandé directement "Peux-tu m'expliquer pourquoi ces deux fichiers semblent identiques" pour avoir comme réponse un "Je comprends votre frustration, il semble qu'ils contiennent le même contenu", alors que mes prompts étaient surprenamment polies... (Travail oblige de toutes manières)

C'est vraiment extrêmement... nul ? Inutile ? On dirait une escroquerie, mais je suppose qu'ils se sont autorisés a être des escrocs dans leur CLUF
5  0 
blbird
Avatar de blbird
Membre chevronné https://www.developpez.com
Le 13/02/2025 à 22:02
Je confirme, j'ai fait un tests sur plusieurs mois l'été 2024 sur Microsoft Copilot pour 15 utilisateurs, avec formations, le résultat c'était avéré catastrophique. 14 sur 15 trouvaient que c'était une perte de temps, même avec l'avantage des intégrations dans les outils O365, et 1 seul a trouvé qu'il pouvait gagner quelques minutes par jour sur une utilisation très simple. Tous sont repartis sur Chatgpt ou Claude, 10x plus efficaces.
4  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 22/11/2024 à 11:23
C'est marrant de voir des entreprises qui paniquent parce que des employés ont accès à des données confidentielles, mais qui ne se posent absolument pas la question quand elles partagent/upload leurs données sur pleins de clouds qui ne leur appartiennent pas!

Je suppose que c'est le principe de "ce qui ne se voit pas n'existe pas".

Citation Envoyé par Stéphane le calme Voir le message

La technologie IA peut-elle réellement différencier des données sensibles de celles qui ne le sont pas ?
Bien sûr que non.

Citation Envoyé par Stéphane le calme Voir le message

Qui est responsable en cas de fuite de données causée par un outil comme Copilot : Microsoft, l'entreprise utilisatrice ou les équipes IT ?
Une GAFAM ne sera jamais responsable. Et puis vu son argent, bonne chance pour essayer de faire valoir vos "droits".
Ce sera l'entreprise qui va payer plein pot, et c'est normal, puisque c'est l'entreprise qui a fait ces (mauvais) choix.
Au mieux, une entreprise fera un procès qui lui coûtera affreusement cher pendant une dizaine d'années.

Citation Envoyé par Stéphane le calme Voir le message

Les entreprises ont-elles aujourd’hui une maîtrise suffisante de la configuration des permissions sur leurs systèmes internes ?
Ni aujourd'hui ni demain.
Comment maîtriser ce qui est externe? (ces systèmes n'ont d'interne que le nom, vu que tout fuit vers des services Cloud).
Si vous me confiez vos données, est-ce que vous en avez encore la maîtrise?

Citation Envoyé par Stéphane le calme Voir le message

Quels mécanismes supplémentaires Microsoft pourrait-il implémenter pour renforcer la sécurité des données sensibles ?
Hmmm... La sécurité des données sensibles est-elle la priorité de Microsoft?
On peut sérieusement se poser la question quand on voit qu'ils poussent pour Recall, malgré les alertes de leurs propres ingénieurs sécurité...

Citation Envoyé par Stéphane le calme Voir le message

À quel point est-il réaliste d’espérer qu’un outil aussi puissant reste totalement sécurisé et fiable dans des environnements complexes ?
Le problème ne vient pas de la "puissance" d'un outil mais de son intégration à tout un tas de systèmes et à la complexité engendrée.
Aucune chance que ça soit réaliste, donc.

EDIT:
Pour ce qui est du schéma "recall security architecture", je ne vois pas comment les points 1, 2, 3 et 4 peuvent protéger d'un attaquant.

Lorsqu'un utilisateur installe un keylogger, ou lance un cryptolocker, ce n'est pas un attaquant physique qui effectue le travail.

C'est l'utilisateur lui-même qui va le faire, en cliquant sur ce qu'il considère être quelque chose de légitime. Le prompter pour du windows hello, de la biométrie, ou même ses informations hypothécaires s'il le faut n'y changera absolument rien: le programme exécuté aura les droits sur cette "secure enclave" et n'aura plus qu'à exfiltrer les données...

Bref, c'est juste pour donner un sentiment de sécurité sur une fonctionnalité qui n'est qu'un spyware déguisé.

Vive les GAFAM...
3  0 
totozor
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 28/01/2025 à 7:29
Citation Envoyé par Mathis Lucas Voir le message
Quel est votre avis sur le sujet ?
Je comprends mieux pourquoi on nous encourage à nous en servir dans ma boite, elle a payer un pont ce service.
Mais les résultats sont au mieux moyens.
Seule la retranscription des réunions est à peu près acceptables (on comprends facilement les erreurs qu'elle fait)
4  1 
Coupheure
Avatar de Coupheure
Candidat au Club https://www.developpez.com
Le 30/01/2025 à 7:44
D'après mes tests Copilot n'est pas capable de transformer un Word en présentation Powerpoint ... trop déçu
3  0 
floyer
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 31/01/2025 à 1:05
On me fera difficilement passer d’Excel à LibreOffice… la fonction « insérer tableau » d’Excel est renommée « définir une plage » sous LibreOffice mais est moins ergonomique (pas de feedback visuel, ni de possibilité d’agrandir la plage facilement). Mais surtout PowerQuery… c’est la possibilité de créer à la souris des scripts de manipulation de tableaux très puissants (bien plus que les tableaux croisés dynamique).
2  0 
Commenter Signaler un problème