système : OPÉRATIONNEL
← retour à tous les hacks
PROMPT INJECTION CRITICAL NEW

Injection de prompt « drive-by » : un site pouvait piloter Copilot en silence sur mobile

Microsoft a corrigé le 14 juillet 2026 une faille critique : une page malveillante pouvait faire envoyer par Edge pour Android des prompts cachés à l'application Copilot, sans confirmation ni contrôle d'origine.

2026-07-17 // 6 min affects: microsoft-365-copilot, microsoft-edge, copilot

De quoi s’agit-il ?

Le 14 juillet 2026, à l’occasion d’un Patch Tuesday d’un volume record, Microsoft a révélé et corrigé une faille critique dans son assistant Copilot mobile. Notée 9.6 sur l’échelle CVSS — parmi les plus sévères du mois — la vulnérabilité permettait à un site malveillant de piloter Copilot à l’insu de l’utilisateur. Elle a été signalée de façon privée par Ofek Levin, de la société de sécurité Enclave, n’était pas publique avant le correctif et, selon Microsoft, n’a jamais été exploitée et ne figure sur aucune liste de vulnérabilités activement exploitées.

Le point intéressant tient au vecteur de livraison. Il ne s’agit pas d’un jailbreak du modèle ni d’un document empoisonné chargé à l’exécution. C’est une défaillance de « plomberie » à la frontière entre un navigateur mobile et une application d’IA mobile : un composant acceptait des requêtes de prompt émanant d’un autre sans demander de confirmation ni vérifier leur provenance. Microsoft qualifie la faiblesse sous-jacente d’injection de commande (neutralisation incorrecte d’éléments spéciaux utilisés dans une commande). Nous la traitons comme une étude de cas défensive : que se passe-t-il quand un assistant IA fait trop confiance à son canal d’entrée.

Comment ça marche

L’avis de Microsoft décrit une chaîne qui ne demande rien à la victime, sinon d’ouvrir une page web dans Microsoft Edge pour Android.

Page malveillante -> la victime la visite simplement dans Edge pour Android
Requête forgée    -> la page pousse Edge à envoyer des prompts à l'app Copilot
Aucun garde-fou   -> le composant récepteur les accepte, sans confirmation ni origine vérifiée
Copilot agit      -> les prompts choisis par l'attaquant s'exécutent comme si l'utilisateur les avait saisis

Le défaut central est l’absence de garde entre les deux applications. Le composant qui recevait les requêtes de prompt ne demandait pas de confirmation à l’utilisateur et ne vérifiait pas l’origine de la requête ; des instructions forgées par une page contrôlée par l’attaquant étaient donc traitées comme si elles venaient de l’utilisateur légitime. Microsoft indique que le résultat pouvait être des actions non voulues dans Copilot, comme lire ou modifier des données — l’assistant exécutant ce que le prompt injecté demandait, dans la limite des permissions déjà détenues par le Copilot de l’utilisateur.

Une ambiguïté documentée mérite d’être signalée en toute transparence : l’avis nomme Microsoft 365 Copilot pour iOS et Android comme produits affectés, mais le récit d’attaque ne mentionne qu’Edge pour Android, et les mises à jour liées pointent vers Microsoft Edge dans les magasins d’applications plutôt que vers une version de Copilot. Microsoft n’a pas indiqué de numéro de version corrigée précis. Nous ne publions aucun payload ni détail de reproduction ; le mécanisme — un canal de requêtes inter-applications qui traite une entrée non authentifiée et d’origine croisée comme une intention légitime de l’utilisateur — est la leçon à retenir.

Pourquoi c’est important

L’injection de prompt « drive-by » est exactement le type d’attaque que la communauté sécurité annonçait dès lors que les assistants gagneraient la capacité d’agir. Elle combine deux ingrédients du « trio létal » : du contenu non fiable (une page web quelconque) et un agent capable de mener des actions conséquentes pour l’utilisateur. Ce qui fait passer cette faille de l’hypothèse de conférence à une véritable ligne de Patch Tuesday, c’est la livraison sans interaction — pas de clic sur un lien dans la page, pas de fichier à ouvrir, pas d’extension à installer. Visiter la page suffit.

Le rayon d’impact est borné par ce que le Copilot mobile peut déjà faire pour cet utilisateur : lire et écrire sur les données et les connecteurs auxquels il est connecté. Pour un déploiement d’entreprise où Copilot atteint la messagerie, les fichiers et le chat, « lire ou modifier des données » n’est pas un résultat anodin. Et comme le déclencheur est une visite web plutôt qu’un payload de phishing, les mesures classiques de sensibilisation (« n’ouvrez pas les pièces jointes ») offrent peu de protection. La bonne nouvelle est réelle : la faille a été trouvée par divulgation responsable, corrigée avant sa publication, et jugée peu susceptible d’être exploitée. La leçon, elle, demeure : les canaux d’entrée des assistants font désormais partie de la surface d’attaque.

Défenses

Corrigez les logiciels clients. Comme Microsoft a rattaché le correctif à des mises à jour de magasins d’applications plutôt qu’à une version nommée, la mesure pratique consiste à maintenir l’application Copilot et Microsoft Edge à jour sur chaque appareil mobile géré, via le Play Store sur Android et l’App Store sur iOS.

Réduisez la portée du Copilot mobile. Appliquez le moindre privilège à ce que l’assistant peut atteindre sur mobile — limitez les connecteurs, l’accès aux données et toute capacité d’action à ce dont les utilisateurs ont réellement besoin, afin qu’un prompt détourné ait moins de prise.

Exigez une confirmation pour les actions conséquentes. La cause racine ici était un traitement de requêtes silencieux et non confirmé. Là où vous maîtrisez la configuration de l’agent, imposez une approbation humaine explicite avant qu’un assistant ne lise ou modifie des données sensibles, plutôt que d’autoriser une exécution en arrière-plan déclenchée par un canal externe.

Traitez les canaux inter-applications et navigateur-vers-assistant comme des entrées non fiables. Tout chemin par lequel une page web ou une autre application peut transmettre des instructions à un assistant IA doit authentifier la source et valider la requête, exactement comme un appel d’API venu d’Internet.

Supprimez ce que vous n’utilisez pas. Si le Copilot mobile ne fait pas partie du flux de travail d’une personne, le désinstaller élimine totalement la surface — un contrôle propre pour les appareils qui n’ont jamais eu besoin de l’assistant.

Statut

ÉlémentDétail
DivulgationSignalée en privé par Ofek Levin (Enclave) ; publiée et corrigée au Patch Tuesday du 14 juillet 2026 (CVE-2026-48561)
SévéritéCVSS 9.6 (critique) ; classée en injection de commande
Affectés (selon l’avis)Microsoft 365 Copilot pour iOS et Android ; le récit d’attaque évoque Edge pour Android
ExploitationNon publique avant le correctif ; aucune exploitation rapportée par Microsoft ; absente du catalogue CISA KEV ; jugée « peu probable »
État du correctifCorrigé ; maintenez l’application Copilot et Microsoft Edge à jour via les magasins d’applications

Sources