L’assistant IA inclus dans Microsoft 365 Copilot avait la possibilité de passer outre les mesures de sécurités censées être mises en place pour qu’il n’accède pas à tous les contenus des utilisateurs de la suite.
BleepingComputer a relevé que Microsoft avait signalé depuis le 21 janvier ce bug dans son outil réservé aux administrateurs Microsoft 365 sous le numéro CW1226324.
Copilot Chat pouvait accéder aux emails envoyés ou en brouillon des utilisateurs même s’ils étaient étiquetés par l’utilisateur comme confidentiels (étiquette pourtant explicitement mise en place pour éviter cela). Ainsi ses résumés pouvaient intégrer des informations issues de ces emails confidentiels.
Selon Microsoft elle-même, ce bug entraine le fait que « les emails des utilisateurs auxquels une étiquette confidentielle a été appliquée sont traités de manière incorrecte par le chat Microsoft 365 Copilot » et que « l’ « onglet travail » du Chat de Copilot Microsoft 365 résume les emails même si ceux-ci sont assortis d’une étiquette de confidentialité et qu’une politique DLP [data loss prevention, ndlr] est configurée ».
L’entreprise affirme avoir commencé à déployer le correctif début février et indique qu’elle a contacté une partie des utilisateurs concernés pour vérifier qu’il fonctionnait. Mais elle ne s’est encore engagée sur aucune date de correction complète du bug et n’a donné aucune information sur le nombre d’organisations touchées.
Plus tôt, la direction des services informatiques du Parlement européen avait décidé de bloquer l’accès à tous les outils d’IA générative sur ses appareils pour s’assurer que des informations ne fuitent pas via ces outils.
Commentaires (9)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 19 février à 11h16
(Ça c'est beau)
Le 19 février à 11h32
On apprendra d'ici peu qu'eux aussi transmettaient les données des mails confidentiels directement au gouvernement US, un peu comme OpenAI qui vient de se faire chopper à ce niveau...
Le 19 février à 16h01
Modifié le 20 février à 14h53
Le 20 février à 17h18
Pour ce dont tu parles, il s'agit d'une société de vérification d'identité qui pourrait envoyer des infos récupérer lors de la vérification d'identité à des entités étatiques (ils démentent d'où mon conditionnel) mais ils n'ont pas accès aux échanges avec ChatGPT et ne les envoient donc pas au gouvernement.
C'est une société du type de celle qui vient de faire fuiter des données d'un milliard de personnes.
Le 19 février à 11h37
Le 19 février à 19h11
Elle n'a de fondement que la relation contractuelle, peut-être qu'on a souvent tendance à oublier ce fait.
Le 19 février à 23h23
Le 20 février à 12h18
😎
(Je précise, en plus du smiley, que c'est de l'humour. On n'est jamais trop prudent)
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?