Microsoft reconnaît une faille dans Copilot ayant exposé des e-mails sensibles à son IA

Tech / IA / Microsoft / Copilot
Par Christophe Romei publié le 20 février 2026 à 9h00.
Tech
Microsoft Copilot

Image d'illustration. Microsoft CopilotADN

Microsoft a reconnu qu’une faille dans Copilot, son outil d’intelligence artificielle, a permis à l’IA d’accéder à des courriels sensibles et confidentiels. Cette vulnérabilité soulève des inquiétudes quant à la sécurité des données traitées par ces systèmes automatisés.

Tl;dr

  • Copilot a traité des emails confidentiels malgré les restrictions.
  • Bogue lié à la sécurité, correctif en cours de déploiement.
  • L’incident reste limité selon Microsoft.

Une faille préoccupante dans Copilot

Depuis la fin janvier, une faille de sécurité découverte dans Copilot Chat, l’assistant dopé à l’IA de Microsoft, soulève de sérieuses questions sur la confidentialité des données professionnelles. Selon le site spécialisé Bleeping Computer, ce bogue référencé CW1226324 a permis à Copilot d’accéder et de résumer des courriels pourtant estampillés « confidentiel », passant outre les protocoles de prévention contre la perte de données mis en place par l’entreprise.

Des emails confidentiels lus et résumés par l’IA

Concrètement, cette faille affectait principalement la fonctionnalité « work tab » et concernait les dossiers « Envoyés » ainsi que « Brouillons » dans Outlook. Le plus troublant ? Même les messages explicitement marqués comme confidentiels ont été traités sans restriction par Copilot, alors qu’ils auraient dû bénéficier d’une protection renforcée. À noter que le système est déjà largement déployé chez les clients professionnels de la suite Microsoft 365 depuis septembre 2025.

L’origine du problème et la réponse de Microsoft

Interrogée sur cette brèche, un porte-parole de Microsoft a admis : « Les messages email portant le label confidentiel ont été traités incorrectement par Copilot Chat dans Microsoft 365. » L’origine du dysfonctionnement ? Une erreur non spécifiée au niveau du code, dont la correction a commencé à être diffusée dès le début février. Pour rassurer ses utilisateurs, l’éditeur précise toutefois que cette anomalie n’a pas permis à des personnes non autorisées d’accéder à ces informations sensibles.

Portée limitée mais vigilance maintenue

Pour l’heure, difficile de connaître précisément le nombre d’organisations ou d’utilisateurs touchés. L’incident a cependant été classé comme « advisory », catégorie qui sous-entend généralement une portée ou un impact limités selon Microsoft. Malgré tout, cet épisode rappelle combien les technologies d’intelligence artificielle, même intégrées aux écosystèmes les plus robustes, peuvent présenter des failles inattendues. Voici ce que retiennent certains experts :

  • L’automatisation ne doit pas occulter la sécurité des données sensibles.
  • Un suivi rigoureux reste essentiel lors du déploiement massif de nouvelles fonctionnalités IA.

À défaut d’un calendrier précis pour la fin du correctif, la surveillance se poursuit… et sans doute aussi une certaine méfiance chez les entreprises concernées.

En savoir plus