🔎 Cyberveille

76 readers

2 users here now

Bienvenue dans Cyberveille — un espace de partage et de discussion autour de l’actualité de la cybersécurité francophone, avec un accent suisse 🫕 et européen.

💡 Vocation

Partager les actualités, articles et rapports francophones sur la cybersécurité
Échanger sur les tendances, vulnérabilités, pratiques et outils du domaine
Proposer un espace d’entraide et de conseils : poser une question, demander un avis ou un retour d’expérience en matière de sécurité numérique.

💬 Thèmes principaux

🔐 Infosec · OSINT · Threat intel · Privacy · Blue Team · Sécurité des systèmes d’information · Législation et conformité

~Une partie du contenu provient du projet Cyberveille.ch , une veille francophone sur la cybersécurité gérée par un humain et un bot.~

📩 modérateur: decio

founded 3 months ago

MODERATORS

decio

Copilot : une faille invisible siphonne vos données en un clic (siecledigital.fr)

submitted 1 week ago* (last edited 1 week ago) by decio to c/cyberveille

0 comments fedilink hide all child comments

Si avec Copilot, Microsoft promet une interaction fluide et sécurisée entre l’utilisateur et son environnement Windows, cette relation de confiance peut aussi devenir un angle d’attaque.

En effet, une découverte récente d’une vulnérabilité particulièrement sournoise, capable d’exploiter Copilot sans éveiller le moindre soupçon.

La faille, révélée par les chercheurs de Varonis Threat Labs et baptisée « Reprompt« , repose sur un principe simple : détourner le fonctionnement interne de Copilot à partir d’un lien parfaitement légitime.

Tout commence par un e-mail ou un message contenant une URL pointant vers Copilot, hébergée sur un domaine Microsoft authentique, sans rien d’anormal en apparence.

Une fois le lien ouvert, une requête préconfigurée se lance automatiquement dans la session Copilot de la victime, sans action manuelle. Cette requête contient alors des instructions invisibles, conçues pour contourner les garde-fous de l’assistant.

Copilot se retrouve alors à exécuter des ordres qui ne s’affichent pas à l’écran, tout en conservant un accès complet aux données liées à la session de l’utilisateur déjà authentifié.

no comments (yet)

sorted by: hot top controversial new old

there doesn't seem to be anything here