Microsoft reconnaît un incident embarrassant touchant son assistant Copilot intégré à Microsoft 365. Pendant plusieurs semaines, l’outil a été capable de résumer des courriels pourtant marqués comme confidentiels, contournant ainsi les mécanismes de protection mis en place par les entreprises.

Le problème concernait Copilot Chat, déployé à l’automne 2025 dans les applications Word, Excel, Outlook, PowerPoint et OneNote pour les clients professionnels. Selon un avis de service consulté par BleepingComputer, le bogue, identifié sous le code CW1226324, a été détecté le 21 janvier 2026. Il affectait l’onglet « Work » de Copilot Chat.

En cause, une erreur de code qui permettait à l’assistant d’accéder aux dossiers « Éléments envoyés » et « Brouillons », même lorsque les messages portaient une étiquette de confidentialité. Ces labels sont justement conçus pour empêcher tout traitement automatisé, notamment dans le cadre de politiques de prévention des pertes de données, les fameuses règles DLP.

Concrètement, des messages qui auraient dû rester hors de portée pouvaient être analysés et résumés par l’intelligence artificielle. Microsoft a confirmé que ces courriels « avec un label confidentiel appliqué étaient incorrectement traités par Microsoft 365 Copilot Chat ».

L’entreprise affirme avoir commencé le déploiement d’un correctif au début de février et surveiller toujours son implantation. Elle indique également contacter certains clients concernés pour vérifier l’efficacité du correctif. Aucun chiffre n’a toutefois été communiqué quant au nombre d’organisations touchées.

Cet incident survient dans un contexte de vigilance accrue autour de l’intégration de l’IA en entreprise. Cette semaine, le service informatique du Parlement européen a annoncé le blocage des fonctions d’intelligence artificielle intégrées sur les appareils professionnels des élus, invoquant des préoccupations liées à la confidentialité des correspondances et à leur traitement dans le nuage.

L’affaire rappelle que l’ajout d’assistants intelligents dans les outils bureautiques crée de nouveaux risques de conformité et de cybersécurité. Entre injections de requêtes malveillantes et gestion des données sensibles, les garde-fous techniques doivent suivre le rythme d’une intégration accélérée de l’IA dans les environnements professionnels.

Source : Bleeping computer

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.