L'injection continue de faire fuiter Copilot : deux nouveaux CVE de juin 2026
Le Patch Tuesday du 9 juin 2026 a livré CVE-2026-42824 et CVE-2026-47644 — deux failles de divulgation d'information de classe injection sur la surface Copilot, dans la lignée d'exfiltration ouverte par EchoLeak.
De quoi s’agit-il ?
Le Patch Tuesday du 9 juin 2026 — une livraison record de 206 CVE, dont 32 critiques, selon Cisco Talos — contenait un petit groupe révélateur sur la surface Copilot. Trois entrées partagent la même classe de faiblesse racine : neutralisation incorrecte d’éléments spéciaux (injection). L’une, CVE-2026-45497, est la faille d’injection de commande menant à l’exécution de code que nous avons traitée séparément. Les deux autres font l’objet de cet article :
- CVE-2026-42824 — injection de commande dans Microsoft 365 Copilot, qui « permet à un attaquant non autorisé de divulguer des informations sur le réseau ».
- CVE-2026-47644 — neutralisation incorrecte d’éléments spéciaux dans la sortie utilisée par un composant en aval (injection) dans Copilot Chat (Microsoft Edge), permettant là aussi une divulgation d’information sur le réseau.
Les deux ont été divulguées le 4 juin 2026 et, selon le MSRC, sont déjà corrigées côté serveur, sans action requise de l’utilisateur. Microsoft, comme à son habitude pour ses avis cloud, publie la classe CWE, l’impact et le vecteur, mais ne détaille pas le mécanisme d’exploitation. Nous ne comblons pas ce vide par des détails inventés.
Comment ça marche
Ce que les avis nous disent, c’est le motif — et ce motif est l’essentiel. Les deux failles sont des faiblesses d’injection dont le gain est une divulgation d’information, et non une exécution de code. C’est la même forme que CVE-2025-32711 « EchoLeak » un an plus tôt, et la même forme que les chaînes d’exfiltration Copilot documentées sur ce site — voir notre chaîne CoPirate 365 Copilot et ShareLeak dans Copilot Studio.
La raison structurelle pour laquelle un assistant IA produit en continu cette classe de CVE : une requête Copilot mélange des instructions de confiance (le prompt système, l’utilisateur) et du contenu non fiable (documents, e-mails, pages web, sortie d’outil) dans un même contexte, et la sortie du modèle est ensuite consommée par des composants en aval — un moteur de rendu de navigateur, un connecteur, un déplieur de liens, un sink markdown/HTML. Si les éléments spéciaux de cette sortie ne sont pas neutralisés avant que le composant en aval n’agisse, le contenu contrôlé par l’attaquant et récupéré durant le tour peut orienter ce qui est lu et l’endroit où c’est envoyé. La classe CWE « injection » est précisément l’étiquette de « des données non fiables ont franchi une frontière qu’elles n’auraient pas dû franchir ». Le fait que CVE-2026-47644 nomme un composant en aval dans Edge correspond exactement à cette lecture.
Aucun payload n’est reproduit ici, et aucun n’est nécessaire pour comprendre la leçon : dans un assistant LLM, la sortie du modèle est une entrée non fiable pour ce qui s’exécute ensuite.
Pourquoi c’est important
Trois enseignements. D’abord, la divulgation d’information, et non l’exécution de code, reste le mode de défaillance dominant de Copilot. L’élément qui a fait les titres ce mois-ci était l’exécution de code (45497), mais deux des trois CVE d’injection font fuiter des données — cohérent avec chaque incident Copilot depuis EchoLeak. Si vous modélisez la menace Copilot uniquement pour l’exécution de code, vous défendez le cas le plus rare.
Ensuite, « déjà corrigé, aucune action requise » ne signifie pas « rien à faire ». Les correctifs côté serveur ferment l’instance précise que Microsoft a trouvée ; ils ne retirent pas la classe de faiblesse et ne vous donnent aucune couverture de détection pour la prochaine variante. La classe s’est désormais reproduite assez souvent pour être traitée comme un risque permanent, pas comme une série de cas isolés.
Enfin, le signal de volume. Un Patch Tuesday à 206 CVE, avec une découverte assistée par IA largement créditée pour cette poussée, signifie que la cadence des avis sur les surfaces IA augmente. Copilot est désormais une ligne récurrente de la veille mensuelle en vulnérabilités, et doit être suivie comme telle.
Défenses
Microsoft possède le correctif cloud ; votre travail porte sur le rayon d’impact alentour et sur la prochaine variante.
- Traitez la sortie du modèle comme une entrée non fiable en aval. Partout où la sortie Copilot alimente un moteur de rendu, un connecteur ou une automatisation, appliquez un encodage de sortie contextuel et une neutralisation adaptée au sink (HTML, URL, commande). C’est le contrôle dont l’absence est décrite par ces CVE.
- Contraignez les chemins d’exfiltration. La plupart des chaînes de fuite Copilot se terminent par une requête sortante — un chargement d’image, un lien, un appel de connecteur. Restreignez et surveillez l’egress depuis le contexte de l’assistant ; interdisez le chargement automatique de contenu distant dans les réponses rendues là où c’est possible.
- Minimisez la surface de grounding. Limitez les connecteurs et les accès aux documents de Copilot au moindre privilège. Moins de données sensibles atteignables en un seul tour, moins une injection peut en divulguer.
- Surveillez la divulgation, pas seulement l’exécution. Alertez sur les requêtes sortantes anormales issues de Copilot et sur les lectures inhabituelles inter-tenants ou inter-connecteurs. Les failles de divulgation sont silencieuses par nature.
- Corrigez et suivez la surface IA à la cadence normale. Ajoutez M365 Copilot, Copilot Chat et Edge à votre revue MSRC mensuelle. Les avis « aucune action requise » ont quand même leur place dans l’inventaire.
Statut
| CVE | Composant | Classe | Impact | Divulgation | Statut |
|---|---|---|---|---|---|
| CVE-2026-42824 | Microsoft 365 Copilot | Injection de commande | Divulgation d’information (réseau) | 2026-06-04 | Corrigé côté serveur |
| CVE-2026-47644 | Copilot Chat (Edge) | Injection de sortie | Divulgation d’information (réseau) | 2026-06-04 | Corrigé côté serveur |
| CVE-2026-45497 | Microsoft 365 Copilot | Injection de commande | RCE (changement de portée) | 2026-06-04 | Corrigé côté serveur |
| CVE-2025-32711 (EchoLeak) | Microsoft 365 Copilot | Injection | Divulgation d’information | 2025 | Corrigé côté serveur |
Le bon cadrage n’est pas « deux bugs Copilot de plus ». C’est que la divulgation d’information pilotée par injection est une propriété structurelle et récurrente des assistants LLM qui mélangent contenu de confiance et contenu non fiable, et que chaque correctif mensuel ferme une instance, pas la classe. Les défenseurs qui intègrent cela garderont leur surveillance d’egress et leurs contrôles de traitement de sortie bien après que les avis du mois auront disparu de l’écran.
Sources
- → https://blog.talosintelligence.com/microsoft-patch-tuesday-for-june-2026-snort-rules-and-prominent-vulnerabilities/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47644
- → https://thewindowsupdate.com/2026/06/04/cve-2026-42824-m365-copilot-information-disclosure-vulnerability/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711