Microsoft vient de reconnaître l’existence d’un bug sérieux dans Microsoft 365 Copilot Chat, l’assistant IA inclus dans les abonnements Microsoft 365 Business : depuis fin janvier 2026, celui-ci était capable de lire et de résumer des e-mails pourtant marqués comme confidentiels, contournant ainsi les politiques de protection des données mises en place par les entreprises. Une situation qui soulève de vraies questions sur la fiabilité des garde-fous intégrés aux outils d’IA en entreprise.
Ce qui s’est passé
Le problème a été détecté pour la première fois autour du 21 janvier 2026. Il concerne plus précisément la fonctionnalité Copilot Chat — et notamment son onglet « Travail » — disponible pour les abonnés professionnels de Microsoft 365 depuis septembre 2025 dans les applications Word, Excel, PowerPoint, Outlook et OneNote.
Concrètement, Copilot Chat se mettait à résumer des e-mails présents dans les dossiers Éléments envoyés et Brouillons des utilisateurs, même lorsque ces messages portaient une étiquette de confidentialité censée interdire leur traitement par des outils automatisés.
Une faille dans les politiques DLP
Le cœur du problème, c’est que ce bug court-circuitait les politiques de prévention des pertes de données (Data Loss Prevention, ou DLP) que les entreprises mettent en place précisément pour empêcher que des informations sensibles ne soient aspirées et traitées par un outil d’IA.
Selon Microsoft, la cause est une erreur dans le code — sans plus de précision — qui permettait à Copilot de récupérer des éléments des dossiers concernés malgré les étiquettes de confidentialité en place. En temps normal, une telle configuration aurait dû suffire à bloquer tout accès de l’assistant à ces contenus.
Les types de données concernées peuvent être particulièrement sensibles : contrats commerciaux, correspondances juridiques, informations médicales, communications internes… autant de contenus que l’on ne souhaite pas voir traités par un modèle de langage.
Le correctif est en cours de déploiement
Microsoft a commencé à déployer un correctif début février 2026. Au moment où l’information a été révélée, la société indiquait continuer à surveiller le déploiement et contacter une partie des utilisateurs affectés pour s’assurer de l’efficacité du correctif.
En revanche, Microsoft n’a pas indiqué quand le correctif sera déployé pour tous les utilisateurs concernés, ni précisé le nombre d’entreprises ou d’utilisateurs touchés — se contentant d’indiquer que « le périmètre de l’impact pourrait évoluer » au fil de l’enquête. Les administrateurs peuvent suivre l’avancement depuis le centre d’administration Microsoft 365, sous la référence CW1226324.
À noter : Microsoft a classé cet incident sous la désignation « advisory », un qualificatif généralement utilisé pour des problèmes dont le périmètre d’impact est considéré comme limité.
Ce qu’il faut retenir
- Un bug dans Microsoft 365 Copilot Chat provoquait la lecture et le résumé d’e-mails confidentiels depuis fin janvier 2026.
- Le problème touchait les dossiers Éléments envoyés et Brouillons, malgré la présence d’étiquettes de confidentialité et de politiques DLP.
- Un correctif a commencé à être déployé début février 2026, mais aucune date de résolution définitive n’a été communiquée.
- Microsoft n’a pas précisé le nombre d’utilisateurs ou d’entreprises affectés, et ne s’est pas exprimé sur d’éventuelles conséquences pour les données traitées durant la période.