Cette faille a été découverte par des chercheurs de Varonis ; elle exploitait la manière dont Copilot traite les invites transmises via une URL. Microsoft en a été informé l’année dernière et a depuis corrigé cette faille dans le cadre de la mise à jour « Patch Tuesday » de janvier 2026.
Un simple clic a suffi
Copilot est profondément intégré à Windows, Edge et diverses applications grand public, et peut (selon les autorisations accordées) accéder à l’historique des conversations et à certaines données personnelles Microsoft. Cela en fait une cible de choix. Lors d’une attaque de type « Reprompt », un lien Copilot apparemment légitime est utilisé, dans lequel se cache une invite dissimulée. Cette invite s’exécute automatiquement dès l’ouverture de la page. Si un utilisateur clique sur un tel lien alors qu’il est déjà connecté à Copilot, l’attaque peut exploiter cette session existante, même après la fermeture de l’onglet Copilot.
Selon les chercheurs, aucune extension, aucun plug-in ni aucune étape supplémentaire n’étaient nécessaires. De plus, l’attaque est restée en grande partie invisible pour l’utilisateur.
Voici comment fonctionnait Reprompt
Varonis décrit Reprompt comme une combinaison de plusieurs techniques qui, ensemble, ont permis de contourner les couches de sécurité de Copilot. Le principe reposait sur le fait que Copilot accepte les invites via le paramètre « q » dans une URL. Les pirates pouvaient injecter dans ce paramètre des instructions qui étaient ensuite exécutées automatiquement.
Afin de contourner les protections intégrées de Copilot, des étapes supplémentaires ont été ajoutées :
De ‘q’-parameter werd gebruikt om rechtstreeks instructies aan Copilot door te geven, zoals het ophalen van gespreksgeschiedenis of gebruikersdata.
Copilots datalekbeperkingen bleken enkel op de eerste aanvraag van toepassing. Door Copilot dezelfde actie tweemaal te laten uitvoeren, konden controles bij de tweede aanvraag worden omzeild.
Copilot bleef na de eerste interactie nieuwe instructies ophalen van een externe server. Elke respons werd gebruikt om de volgende opdracht te genereren, wat continue en stille data-exfiltratie mogelijk maakte.
Comme les instructions réelles n’étaient envoyées depuis le serveur de l’attaquant qu’après la première étape, les outils de sécurité côté client avaient du mal à déterminer précisément quelles données avaient été dérobées.
Problème résolu
Varonis avait déjà signalé le problème à Microsoft le 31 août 2025. L’entreprise a désormais corrigé cette vulnérabilité grâce aux mises à jour de sécurité de janvier 2026. Rien n’indique que Reprompt ait effectivement été exploité chez des utilisateurs aléatoires. Détail important : l’attaque concernait exclusivement Copilot Personal. Microsoft 365 Copilot, la version professionnelle, s’est avéré non vulnérable grâce à des couches de sécurité supplémentaires telles que des règles DLP à l’échelle du tenant, l’audit Purview et des contrôles administratifs plus stricts.
Microsoft recommande aux utilisateurs d’installer les dernières mises à jour Windows dès que possible. Bien que la faille ait désormais été corrigée, Reprompt démontre une nouvelle fois que les assistants IA (précisément parce qu’ils sont profondément intégrés aux systèmes d’exploitation) constituent une surface d’attaque à la fois attrayante et complexe.
