Microsoft a confirmé l’existence d’un dysfonctionnement affectant son assistant d’intelligence artificielle Microsoft 365 Copilot, qui a conduit à la synthèse d’e-mails confidentiels, en contournant les politiques de prévention des pertes de données (DLP) mises en place par les organisations.
Identifié sous la référence CW1226324, le problème a été détecté pour la première fois le 21 janvier et serait actif depuis la fin du mois de janvier.
Des e-mails protégés concernés
Selon une alerte de service consultée par BleepingComputer, le bug touche la fonctionnalité de discussion « work tab » de Copilot. Celle-ci aurait analysé et résumé de manière incorrecte des messages stockés dans les dossiers « Éléments envoyés » et « Brouillons » des utilisateurs, y compris des courriels portant des étiquettes de confidentialité destinées précisément à empêcher leur traitement par des outils automatisés.
« Les messages électroniques des utilisateurs dotés d’une étiquette de confidentialité sont traités de manière incorrecte par Microsoft 365 Copilot Chat », a reconnu l’entreprise. « La fonction de chat ‘work tab’ résume des messages alors même qu’une étiquette de sensibilité est appliquée et qu’une politique DLP est configurée. »
Copilot Chat — la solution conversationnelle intégrée à Microsoft 365 — permet aux utilisateurs d’interagir avec des agents d’intelligence artificielle dans des applications telles que Word, Excel, PowerPoint, Outlook et OneNote. Son déploiement auprès des clients professionnels payants a débuté en septembre 2025.
Une erreur de code à l’origine du problème
Microsoft a attribué l’incident à une erreur de code non spécifiée. « Un problème dans le code permettait aux éléments des dossiers ‘Éléments envoyés’ et ‘Brouillons’ d’être pris en compte par Copilot malgré la présence d’étiquettes confidentielles », a précisé le groupe.
Un correctif a commencé à être déployé début février. Mercredi, l’entreprise indiquait toujours surveiller la mise en œuvre de la solution et contacter un sous-ensemble d’utilisateurs affectés afin de vérifier son efficacité.
Aucun calendrier précis de résolution complète n’a été communiqué, et Microsoft n’a pas précisé le nombre d’utilisateurs ou d’organisations concernés. L’incident a toutefois été classé comme un « advisory », un type d’alerte généralement associé à un impact limité.
Microsoft assure qu’aucun accès non autorisé n’a eu lieu
Dans une déclaration transmise après la publication initiale de l’information, un porte-parole de Microsoft a tenu à rassurer :
« Nous avons identifié et corrigé un problème par lequel Microsoft 365 Copilot Chat pouvait restituer du contenu provenant d’e-mails confidentiels rédigés par un utilisateur et stockés dans ses dossiers Brouillons et Éléments envoyés dans Outlook Desktop. Cela n’a permis à personne d’accéder à des informations auxquelles il n’était pas déjà autorisé. »
L’entreprise affirme que ses contrôles d’accès et ses politiques de protection des données sont restés opérationnels, tout en reconnaissant que ce comportement ne correspondait pas à l’expérience Copilot attendue, conçue pour exclure les contenus protégés.
Une mise à jour de configuration a été déployée à l’échelle mondiale pour les clients entreprises.
Correctif largement déployé
Le 20 février, Microsoft a indiqué que la cause racine du problème avait été traitée.
« Notre correctif ciblé pour prévenir tout nouvel impact est désormais déployé dans la majorité des environnements concernés. Le déploiement se poursuit uniquement pour une petite partie de nos environnements de service plus complexes », a précisé le groupe.
Selon l’entreprise, les clients ayant déjà reçu la mise à jour ne devraient plus être affectés, et aucun nouveau message électronique ne serait concerné.
