Cette faille dans Excel transforme Copilot en espion et vole vos données sans le moindre clic
⚡ Résumé en français par Brief IA
• Microsoft a corrigé 79 failles de sécurité, dont une vulnérabilité critique dans Excel. • La faille CVE-2026-26144 permet d'exfiltrer des données sensibles via Copilot sans interaction de l'utilisateur. • Cette vulnérabilité de type XSS représente un risque majeur pour la sécurité des données des utilisateurs d'Excel. 💡 Pourquoi c'est important : cette situation souligne la nécessité d'une vigilance accrue en matière de sécurité des outils de productivité comme Excel.
📄 Article traduit en français
Cette faille dans Excel transforme Copilot en espion et vole vos données sans le moindre clic
Microsoft vient de corriger 79 failles de sécurité dans son Patch Tuesday de mars 2026. Parmi elles, une vulnérabilité critique dans Excel permet d'utiliser l'agent Copilot pour exfiltrer des données sensibles, le tout sans aucune interaction de la victime. Oui, zéro clic.
Une faille XSS qui détourne Copilot
Cette faille, répondant au nom de CVE-2026-26144, est une vulnérabilité de type cross-site scripting dans Microsoft Excel. Elle a un aspect particulièrement inquiétant : elle est capable de détourner le mode Agent de Copilot pour envoyer des données vers l'extérieur, via ce que Microsoft appelle un "unintended network egress".
Traduction : l'IA qui est censée vous aider à rédiger vos tableaux et vos formules devient, l'air de rien, un canal d'exfiltration de données.
- Pas besoin que la victime clique sur quoi que ce soit.
- Pas besoin d'élévation de privilèges.
- Il suffit d'un accès réseau.
Les données qui peuvent fuiter sont loin d'être anodines : documents financiers, propriété intellectuelle, données opérationnelles. Dustin Childs, de la Zero Day Initiative, a qualifié cette faille de "fascinante". On veut bien le croire.
Deux autres failles Office à ne pas oublier
Ce Patch Tuesday de mars n'apporte pas que la CVE-2026-26144. Microsoft a aussi corrigé deux failles d'exécution de code à distance dans Office (CVE-2026-26110 et CVE-2026-26113) qui peuvent être exploitées via le simple volet de prévisualisation.
Cela signifie qu'il suffit de survoler un fichier piégé dans l'explorateur pour déclencher l'attaque, sans même l'ouvrir.
Au total, ce sont 79 vulnérabilités corrigées ce mois-ci, dont trois classées critiques. Bonne nouvelle : c'est le premier Patch Tuesday en six mois sans faille activement exploitée dans la nature. Après les épisodes avec APT28 et la CVE-2026-21509 exploitée par des groupes liés à la Russie en début d'année, cela fait une petite pause bienvenue.
Un risque accru avec Copilot
Le problème dans cette histoire, c'est que Microsoft pousse Copilot dans tous ses logiciels, et qu'une faille XSS permet de transformer cet assistant IA en mouchard.
C'est d'autant plus gênant que beaucoup d'entreprises ont activé Copilot sans forcément mesurer ce que cela implique en termes de surface d'attaque. Avec un agent IA qui a accès à vos fichiers et à votre réseau, le moindre trou dans la raquette prend une autre dimension.
Si vous utilisez Excel avec Copilot activé en entreprise, la mise à jour de mars est à installer sans traîner.
Brief IA — Veille IA en français
Toutes les innovations mondiales en IA, traduites et résumées automatiquement. Recevoir les meilleures actus IA chaque jour.