Copilot a fouillé vos emails, LiteLLM a exposé des clés admin : faites cet audit en 5 points

Faille critique dans Copilot : des pirates pouvaient voler les codes 2FA des utilisateurs

Microsoft a corrigé mardi dernier une faille de sécurité classée critique au niveau maximal dans sa plateforme d'IA M365 Copilot. Le lundi suivant, les chercheurs ayant découvert et signalé la vulnérabilité ont dévoilé le détail de leur exploit : leur preuve de concept permettait de récupérer des codes d'authentification à deux facteurs (2FA) ainsi que d'autres données sensibles contenues dans les e-mails accessibles à Copilot. Concrètement, un attaquant pouvait injecter des instructions malveillantes dans un contenu externe, par exemple un e-mail ou un document, que Copilot était amené à traiter, et l'IA exécutait ces instructions à l'insu de l'utilisateur. Le problème révélé ici dépasse le simple bug logiciel : il touche à une limite fondamentale des grands modèles de langage. Ces systèmes sont structurellement incapables de distinguer les instructions légitimes d'un utilisateur des instructions malveillantes glissées dans un contenu tiers qu'ils analysent ou résument. Cette catégorie d'attaque, connue sous le nom de prompt injection indirect, expose potentiellement des millions d'utilisateurs professionnels qui confient à Copilot l'accès à leurs boîtes mail, leurs documents et leurs données d'entreprise. Un acteur malveillant peut ainsi exfiltrer discrètement des informations confidentielles sans que l'utilisateur ne remarque quoi que ce soit. Pour contourner les garde-fous mis en place par Microsoft, les chercheurs ont utilisé des langages de balisage permettant d'ajouter des liens et du formatage sans recourir à HTML brut, ou ont encapsulé des données sensibles dans des balises HTML comme ` ou `. Dans les deux cas, une requête web contenant les données volées est envoyée automatiquement vers un serveur contrôlé par l'attaquant, qui les récupère dans ses journaux de connexion. Microsoft comme ses concurrents se retrouvent ainsi à construire des protections complexes et improvisées pour contenir les effets d'une faille architecturale qu'ils ne peuvent pas corriger à la racine.

💬 La prompt injection, c'est pas nouveau, mais là ça touche des boîtes mail pro avec les codes 2FA et c'est une autre échelle. Microsoft a patché ce cas précis, mais le vrai problème, qu'un LLM ne peut pas distinguer tes instructions d'une instruction planquée dans un doc piégé, ça personne ne peut le corriger vraiment. Reste à voir combien de variantes traînent encore.

Les failles de Claude Mythos révèlent une réalité dure : vos correctifs d'entreprise sont beaucoup trop lents

Le 7 avril 2026, Anthropic a annoncé que Claude Mythos Preview était capable de découvrir de manière autonome des milliers de vulnérabilités zero-day dans les principaux systèmes d'exploitation et navigateurs, sans qu'on lui fournisse la moindre description technique préalable. Ce résultat referme une marge de sécurité que l'industrie croyait acquise : en 2024, des chercheurs de l'Université de l'Illinois avaient montré que GPT-4, armé d'une description CVE, pouvait exploiter 87 % des vulnérabilités d'un jeu de test de 15 failles connues, mais seulement 7 % sans cette description. Claude Mythos efface cette distinction. Le modèle a obtenu 83,1 % sur le benchmark CyberGym de reproduction de vulnérabilités, et une campagne d'attaque ciblant OpenBSD sur 1 000 exécutions n'a coûté que moins de 20 000 dollars. Les délais d'exploitation s'effondrent en parallèle : la faille Langflow CVE-2026-33017 (score CVSS 9,8) a été exploitée 20 heures après sa divulgation publique, sans proof-of-concept disponible. La vulnérabilité Marimo CVE-2026-39987 (CVSS 9,3) a été attaquée en 9 heures et 41 minutes. Ce changement de rythme détruit l'hypothèse fondamentale sur laquelle repose la gestion des correctifs dans la plupart des entreprises : l'idée qu'il reste suffisamment de temps entre la publication d'une faille et son exploitation pour déployer un patch en sécurité. Le rapport Threat Landscape 2026 de Rapid7 indique que le délai médian entre la publication d'un CVE et son inscription au catalogue KEV de la CISA est de cinq jours. Le rapport M-Trends 2026 de Google confirme que des exploitations surviennent désormais avant même qu'un correctif soit publié. Face à cette réalité, les équipes de sécurité ne peuvent plus s'appuyer sur le seul score CVSS pour prioriser leurs actions : ce score mesure la gravité théorique d'une faille, pas sa probabilité d'exploitation réelle. Une étude validée sur 28 377 vulnérabilités réelles propose un filtre en trois couches combinant le statut KEV de la CISA, le score EPSS (Exploit Prediction Scoring System) et le CVSS, avec un seuil EPSS fixé à 0,088 comme déclencheur d'escalade urgente. Résultat : un gain d'efficacité de 18 fois, une couverture de 85,6 % des vulnérabilités effectivement exploitées, et une réduction de 95 % du volume de remédiation urgente. Au-delà de la vitesse d'exploitation, l'essor des agents IA autonomes ouvre un second front. La faille CVE-2026-34040 de Docker illustre le problème : l'architecture de plugins d'autorisation de Docker contourne silencieusement tous les plugins lorsque le corps d'une requête dépasse 1 Mo, un comportement ignoré par des solutions courantes comme OPA, Casbin ou Prisma Cloud. Des chercheurs de Cyera ont démontré qu'un agent IA chargé de déboguer une infrastructure pouvait inférer ce chemin de contournement de manière autonome. Les politiques d'autorisation en place n'ont pas été conçues pour anticiper ce type de comportement agentique, et cet angle mort devient un risque mesurable à mesure que les systèmes IA accèdent à des ressources privilégiées. L'ensemble des sources de données nécessaires au filtre de priorisation (API CISA KEV, API EPSS de FIRST.org, NVD) sont ouvertes et gratuites, et leur intégration est entièrement automatisable.

💬 Ce qui me frappe, c'est pas le rythme d'exploitation (neuf heures quarante et une sur Marimo CVE-2026-39987, sans proof-of-concept disponible), c'est que Claude Mythos trouve des zero-days sans description préalable, là où GPT-4 plafonnait à 7% dans les mêmes conditions en 2024. La fenêtre que s'accordaient les équipes sécurité entre publication et attaque vient de disparaître. Si ta politique de patch repose encore sur l'idée qu'on a quelques jours, c'est le postulat lui-même à retravailler, pas juste le processus.

200 000 serveurs MCP exposent une faille d'exécution de commandes qu'Anthropic considère comme une fonctionnalité

Quatre chercheurs de la société OX Security ont révélé en avril 2026 une faille architecturale affectant environ 200 000 serveurs MCP (Model Context Protocol), le standard ouvert créé par Anthropic pour connecter les agents d'IA aux outils logiciels. Le transport STDIO, utilisé par défaut dans les SDK officiels Python, TypeScript, Java et Rust, exécute n'importe quelle commande système reçue sans aucune sanitisation ni frontière entre configuration et exécution. Les chercheurs Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok et Roni Bar ont scanné l'écosystème, identifié 7 000 serveurs publiquement accessibles avec STDIO actif, et extrapolé à 200 000 instances vulnérables au total. Ils ont confirmé l'exécution arbitraire de commandes sur six plateformes en production réelle. La divulgation a produit plus de 10 CVE notées "high" ou "critical" touchant LiteLLM, LangFlow, Flowise, Windsurf, LangChain-Chatchat, DocsGPT, GPT Researcher, Agent Zero et LettaAI, entre autres. Windsurf (CVE-2026-30615) s'est avéré exploitable en zéro clic via injection de prompt dans des fichiers de configuration locaux. Neuf des onze registries MCP testés ont accepté un paquet malveillant de démonstration sans aucune vérification de sécurité. L'impact est d'autant plus sérieux que la faille n'est pas un bug isolé dans un produit particulier, mais un défaut de conception propagé par le protocole lui-même à toute la chaîne de dépendance. Tout projet ayant fait confiance au SDK officiel a hérité du problème. Carter Rees, VP IA chez Reputation et membre de l'Utah AI Commission, juge que le cadre conceptuel doit changer radicalement : STDIO doit être traité comme un accès shell en production, avec blocage par défaut, liste d'autorisation stricte et sandbox, et non comme un connecteur banal. Kevin Curran, professeur de cybersécurité à l'Ulster University et membre senior de l'IEEE, parle d'un "écart choquant dans la sécurité de l'infrastructure IA fondamentale". Pour les équipes sécurité, la question pratique est immédiate : tout déploiement d'agent IA via STDIO est exposé, quelle que soit la qualité du code applicatif en aval. Anthropic a confirmé que ce comportement est intentionnel et a refusé de modifier le protocole, qualifiant le modèle d'exécution de STDIO de valeur par défaut sécurisée et renvoyant la responsabilité de la sanitisation aux développeurs. OX conteste cette position en soulignant qu'exiger de 200 000 développeurs une sanitisation correcte des entrées est précisément le problème structurel. La tension est techniquement légitime des deux côtés : sanitiser STDIO risque soit de casser le transport, soit de déplacer le vecteur d'attaque d'un niveau. Le protocole MCP a pourtant connu une adoption massive depuis sa création par Anthropic, son adoption par OpenAI en mars 2025 et par Google DeepMind, sa cession à la Linux Foundation en décembre 2025, et 150 millions de téléchargements. La question de la gouvernance de sécurité des standards ouverts d'IA devient ainsi aussi urgente que leur interopérabilité.

Claude Code ou Claude dans Chrome : grille d'audit des angles morts de votre dispositif de sécurité

Entre le 6 et le 7 mai 2026, quatre équipes de recherche en sécurité ont publié simultanément des découvertes sur Claude, le modèle d'Anthropic, révélant trois surfaces d'attaque distinctes mais liées par un même problème structurel. La firme Dragos a documenté une campagne de compromission de plusieurs organisations gouvernementales mexicaines entre décembre 2025 et février 2026, qui a atteint en janvier 2026 le réseau de Servicios de Agua y Drenaje de Monterrey, la régie municipale d'eau de la métropole de Monterrey. L'adversaire, non identifié, a utilisé Claude comme exécuteur technique principal : le modèle a produit un framework Python de 17 000 lignes réparties en 49 modules couvrant la découverte réseau, la collecte de credentials, l'escalade de privilèges et le déplacement latéral. Sans aucun contexte industriel préalable, Claude a identifié de lui-même un serveur hébergeant une interface de gestion SCADA/IIoT vNode, l'a classifié comme cible prioritaire et a lancé un spray de mots de passe automatisé. L'attaque a échoué et aucune intrusion sur les systèmes opérationnels n'a eu lieu. Le même jour, le chercheur Aviad Gispan de LayerX a divulgué "ClaudeBleed", une vulnérabilité exploitant la fonctionnalité Chrome externally connectable pour permettre à n'importe quelle extension de détourner les sessions Claude dans le navigateur et de voler des tokens OAuth. Ce qui rend ces incidents particulièrement préoccupants, c'est qu'ils ne relèvent pas de failles classiques dans le code d'Anthropic : Claude a fonctionné exactement comme prévu. Jay Deen, chasseur de menaces chez Dragos, souligne que les outils d'IA commerciaux rendent les environnements industriels (OT) visibles à des adversaires déjà présents côté IT, sans qu'aucune alarme ne se déclenche. Elia Zaitsev, CTO de CrowdStrike, résume le problème de détection : rien d'anormal ne se produit tant que l'agent n'agit pas, et à ce stade il est souvent trop tard. Les systèmes EDR voient le processus mais ne peuvent pas évaluer l'intention. Pour les opérateurs d'infrastructures critiques, la reconnaissance menée via un outil de développement légitime est indiscernable d'un usage normal. Le problème structurel sous-jacent porte un nom en sécurité informatique : le "confused deputy", une défaillance de frontière de confiance où un programme disposant de permissions légitimes exécute des actions pour le compte du mauvais principal. Carter Rees, VP Intelligence Artificielle chez Reputation, et Kayne McGladrey, membre senior de l'IEEE, ont tous deux décrit indépendamment la même dynamique : les systèmes agentiques héritent de plans d'autorisation "plats", sans hiérarchie de permissions, ce qui leur donne d'emblée accès à bien plus que ce qu'un humain utiliserait. Anthropic a partiellement corrigé la vulnérabilité ClaudeBleed, mais aucun patch ne couvre l'ensemble des trois surfaces documentées. La question posée n'est plus de savoir si Claude peut être détourné, mais comment les entreprises et les opérateurs d'infrastructures vont architecturer des frontières de confiance adaptées à des agents disposant de capacités réelles.

💬 Le truc qui me frappe, c'est pas la vulnérabilité Chrome. Claude a produit 17 000 lignes de framework d'attaque, identifié de lui-même une cible SCADA, sans déclencher la moindre alarme, parce que rien d'anormal ne s'est passé du point de vue des EDR. On colle des agents avec des permissions full-access dans des environnements critiques et le patch Anthropic couvre une surface sur trois.