Microsoft a confirmé l'existence d'un bug critique dans Microsoft 365 Copilot, permettant à l'assistant IA de résumer des e-mails pourtant étiquetés « confidentiels » et protégés par des politiques de prévention des pertes de données. Actif depuis fin janvier 2026 et révélé au grand public mi-février, l'incident soulève des questions fondamentales sur la maturité sécuritaire des IA intégrées dans les environnements professionnels — et sur la robustesse réelle des garde-fous que les entreprises croient avoir mis en place.Depuis septembre 2025, les abonnés payants de Microsoft 365 Business ont accès à Copilot Chat, l'assistant IA intégré à Word, Excel, PowerPoint, Outlook et OneNote. Son principe de fonctionnement repose sur une intégration profonde avec Microsoft Graph : pour répondre à une question, Copilot parcourt l'ensemble du corpus documentaire et de messagerie de l'utilisateur, extrait les éléments pertinents, les charge dans son contexte et génère une réponse synthétique. C'est précisément cette capacité qui le rend utile — et potentiellement dangereuse si les mécanismes de contrôle d'accès fléchissent.
Selon une alerte de service, le bug (référencé CW1226324 et détecté pour la première fois le 21 janvier) affecte la fonctionnalité « work tab » de Copilot Chat, qui lit et résume de manière incorrecte les e-mails stockés dans les dossiers Éléments envoyés et Brouillons des utilisateurs, y compris les messages portant des étiquettes de confidentialité explicitement conçues pour restreindre l'accès aux outils automatisés.
En clair : des e-mails que les équipes de sécurité avaient soigneusement classifiés, sur lesquels des politiques DLP (Data Loss Prevention) avaient été configurées pour empêcher tout traitement automatisé, se retrouvaient quand même résumés — et potentiellement exposés — par l'IA. Le mécanisme de protection, censé constituer le dernier rempart avant le gouffre de l'IA générative, ne fonctionnait tout simplement pas.
Anatomie d'un bug à fort impact de conformité
Pour comprendre la gravité de l'incident, il faut revenir sur l'architecture de protection que Microsoft propose autour de Copilot. Microsoft Purview permet aux organisations d'apposer des étiquettes de sensibilité sur leurs documents et e-mails : « Confidentiel », « Usage interne uniquement », « Hautement restreint », etc. Ces étiquettes peuvent déclencher le chiffrement, restreindre le transfert, appliquer des filigranes, et surtout — via les politiques DLP — interdire à Copilot d'ingérer le contenu concerné dans ses réponses.
Le bug CW1226324, détecté autour du 21 janvier 2026 suite à des signalements clients, a conduit Copilot Chat à inclure de manière incorrecte des éléments des dossiers Éléments envoyés et Brouillons dans son ensemble de récupération, même lorsque ces e-mails portaient des étiquettes de sensibilité et des protections de politique DLP.
Le point de défaillance se situait donc précisément dans la phase de retrieval — l'étape où l'assistant sélectionne les contenus pertinents avant de les injecter dans son contexte de génération. Un défaut dans ce chemin de code permettait aux éléments protégés de "passer à travers" le filtre, rendant caduques toutes les protections configurées en aval. Une petite erreur logique dans le chemin de récupération pouvait ainsi convertir une boîte mail contrôlée en une base de connaissances consultable par l'assistant IA.
Pourquoi les dossiers Éléments envoyés et Brouillons sont-ils particulièrement sensibles ? Parce qu'ils contiennent souvent les communications les plus délicates : contrats finalisés avant envoi, correspondances légales en cours de rédaction, documents confidentiels transmis en externe, données personnelles non encore expurgées. Un bug « limité » à ces deux dossiers est en réalité d'une redoutable portée métier.
Des semaines d'exposition silencieuse
La chronologie de l'incident est instructive. Le 21 janvier 2026, la télémétrie de Microsoft a signalé pour la première fois un comportement anormal de Copilot lié aux étiquettes confidentielles. Fin janvier et début février, des clients et des administrateurs IT ont remarqué que Copilot Chat retournait des résumés référençant des éléments confidentiels dans les dossiers Éléments envoyés et Brouillons, malgré les étiquettes de sensibilité et les politiques DLP en place.
Le NHS britannique a répertorié l'incident en interne sous la référence INC46740412, indiquant que le problème avait un impact réel pour les utilisateurs du secteur public s'appuyant sur Microsoft 365. Ce détail est loin d'être anecdotique : il illustre que le bug n'a pas seulement touché des entreprises privées, mais aussi des organisations dont les obligations de confidentialité relèvent du droit public, voire d'impératifs de santé publique.
Microsoft a indiqué avoir commencé à déployer un correctif début février. Un porte-parole de la société n'a pas répondu à une demande de commentaire, notamment à une question sur le nombre de clients touchés par le bug. Cette opacité sur le périmètre exact de l'incident est précisément ce qui irrite les responsables de la sécurité informatique : sans savoir combien de tenants ont été affectés, ni sur quelle durée exacte, il est difficile de conduire une analyse d'impact rigoureuse.
La tentation du « fail-open » : un antipatterne dans la sécurité de l'IA
Le bug Copilot illustre parfaitement l'un des antpaternes les plus dangereux de la sécurité informatique : le comportement fail-open, c'est-à-dire le fait qu'en cas d'erreur, le système s'ouvre plutôt qu'il ne se ferme. La logique inverse — fail-closed, ou principe de refus par défaut — veut qu'en cas de doute sur les droits d'accès, un système refuse l'opération plutôt que de la laisser passer.
Le système Copilot a été conçu avec un accès étendu aux données utilisateurs pour fournir une assistance complète, et dans ce cas, cette philosophie de conception est entrée en conflit avec les frontières de sécurité établies. C'est là le nœud du problème : l'IA générative est, par nature, conçue pour maximiser la récupération d'information pertinente. La tentation d'un accès le plus large possible, pour le bénéfice de l'utilisateur, entre structurellement en tension avec le principe du moindre privilège qui guide la sécurité défensive.
Ce qui rend la situation encore plus préoccupante, c'est que les outils DLP traditionnels n'ont pas été conçus pour surveiller ou contrôler ce type de flux de données. Comme l'observe un analyste cité dans les discussions de la communauté IT : une IA n'accède pas aux données comme un utilisateur humain le ferait — elle ingère, traite et génère des réponses selon une logique de récupération vectorielle qui échappe aux modèles de contrôle classiques.
Un contexte de méfiance institutionnelle croissante
L'incident s'inscrit dans un climat général de prudence croissante à l'égard des assistants IA dans les environnements professionnels sensibles. En mars 2024, la Chambre des représentants des États-Unis avait interdit à son personnel d'utiliser Microsoft Copilot, craignant que des données parlementaires sensibles ne soient transmises ou stockées en dehors des réseaux gouvernementaux autorisés.
Plus récemment, le Parlement européen a emboîté le pas. Le département informatique du Parlement européen a indiqué à ses parlementaires qu'il avait bloqué les fonctionnalités IA intégrées sur les appareils de travail, en raison de préoccupations selon lesquelles les outils IA pourraient télécharger des correspondances potentiellement confidentielles vers le cloud. Cette décision, prise...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
