Microsoft a lancé un avertissement qui devrait être pris au sérieux: les attaquants exploitent la fonctionnalité de collaboration externe de Microsoft Teams pour imiter le personnel informatique ou le service d'assistance et convaincre les employés de leur donner un accès à distance. Ce qui est inquiétant, ce n'est pas tant le spectaculaire « hack », mais la combinaison de l'ingénierie sociale et des outils légitimes qui permettent aux intrus de se déplacer à travers les réseaux d'entreprises sans soulever les soupçons habituels. Cette alerte est détaillée dans le rapport de l'entreprise, qui décrit comment les intrusions suivent une chaîne d'étapes très concrète et répétable; l'analyse complète est disponible sur le blog de sécurité de Microsoft Voilà..
Le point de départ typique est un message provenant de l'extérieur du locataire des équipes : un échange dans lequel l'agresseur s'identifie comme un technicien, mentionne un problème de compte présumé ou une mise à jour critique et demande de commencer une session de support à distance. Si la victime accepte, des outils comme l'aide rapide (l'application d'assistance à distance Windows) fournissent le contrôle direct de l'attaquant de l'équipe engagée, et à partir de là commence l'escalade silencieuse. Pour comprendre pourquoi ce vecteur est si efficace, il faut se rappeler que beaucoup d'employés considèrent que les demandes d'assistance technique sont légitimes et que, pendant les journées de travail, il est facile de tomber dans le piège.
Une fois à l'intérieur, les attaquants effectuent une reconnaissance rapide avec Command Prompt et PowerShell pour vérifier les privilèges, l'adhésion au domaine et la portée du réseau, en évaluant la possibilité de passer latéralement à des systèmes plus précieux. Ils placent ensuite un petit paquet de composants sur les routes d'autorisation d'écriture de l'utilisateur, par exemple ProgramData, et parviennent à exécuter du code malveillant en utilisant des applications signées et de confiance grâce à la technique connue sous le nom DLL side-rolling. Cette utilisation de binaires légitimes et de signatures numériques rend la communication malveillante et les activités subséquentes confondues avec le trafic normal et les tâches. Si vous voulez voir comment fonctionne cette technique, la base de connaissances MITRE la décrit en détail dans son catalogue ATT & CK: (MITRE ATT & CK).
La communication commande et contrôle se fait généralement sur HTTPS, qui est mélangé avec le reste du trafic sortant et rend difficile de le détecter par les contrôles traditionnels du réseau. Avec la persistance assurée par les changements dans le registre de Windows, les opérateurs abusent de la gestion à distance de Windows (WinRM) pour atteindre d'autres équipements liés au domaine et parfois attaquer des actifs de grande valeur tels que les contrôleurs de domaine. WinRM, conçu pour une administration à distance légitime, devient ainsi le tuyau qui facilite la propagation dans les environnements d'entreprise. Microsoft et la documentation technique officielle sur WinRM expliquent ses considérations de fonctionnement et de sécurité dans: Gestion à distance Windows (WinRM) - Microsoft Docs.
Dans les dernières étapes de l'attaque, les intrus déploient d'autres outils de gestion à distance dans les systèmes auxquels ils ont déjà accès pour automatiser la collecte de données et, surtout, utilisent des utilitaires tels que Rclone pour transférer des fichiers vers des points de stockage cloud externes. L'utilisation de Rclone ou d'autres outils de synchronisation légitimes vous permet de filtrer et d'extraire uniquement des informations précieuses, de réduire les volumes et d'améliorer le sigil de fonctionnement; l'outil lui-même et sa documentation publique sont disponibles à rclone.org qui est habituellement utilisé par ces acteurs pour envoyer des données en dehors du périmètre sans déclencher d'alarmes évidentes.
L'ensemble de ce processus, décrit par Microsoft comme une chaîne en neuf étapes dans les cas analysés, montre pourquoi les intrusions "opérationnées par l'homme" sont si dangereuses : elles ne dépendent pas d'une seule explosion de zéro jour, mais plutôt de la combinaison de l'ingénierie sociale, des outils administratifs légitimes et des abus de processus signés pour rester cachées. Détecter une activité malveillante est compliqué parce que beaucoup d'actions ressemblent à des tâches courantes de support informatique ou de gestion. Le rapport Microsoft contient des captures et une visite technique à travers ces étapes qui aident à identifier les modèles de comportement anormal; vous pouvez le consulter sur votre blog de sécurité: Carnet de jeu d'identité du helpdesk cross-tenant.
Dans ce contexte, les recommandations doivent combiner les contrôles techniques et la prévention humaine. Microsoft insiste pour que les comptes externes des équipes soient traités par défaut comme peu fiables et que les gestionnaires limitent ou surveillent strictement les outils d'assistance à distance. Il recommande également de limiter l'utilisation de WinRM à des systèmes spécifiques et de surveiller les transferts vers des services cloud externes. Pour la documentation sur la façon de gérer l'accès externe dans les équipes et de réduire l'exposition, vous pouvez servir le guide officiel: Gérer l'accès externe dans Microsoft Équipes - Microsoft Docs.
Outre les mesures de configuration, il existe de bonnes pratiques opérationnelles qui atténuent les risques : apprendre aux employés à vérifier l'identité de ceux qui demandent un autre support de canal, exiger des vérifications supplémentaires pour les sessions à distance et activer des contrôles de sécurité qui alertent sur les exécutions atypiques d'applications signées, les changements persistants dans le Registre et l'utilisation inhabituelle des outils de synchronisation des fichiers. Les politiques de détection des points d'extrémité et de réponse (RED) et de mise en œuvre des listes blanches rendent également difficile l'exécution des charges utiles au moyen de binaires légitimes.
Ce n'est pas une solution unique ou miraculeuse : se défendre contre ce type de campagne nécessite une surveillance continue, une segmentation du réseau, une utilisation réduite des comptes avec des privilèges permanents et des systèmes de gestion plus stricts (par exemple accès juste à temps ou postes de travail dédiés aux tâches administratives). La tendance générale est de susciter des soupçons face à des demandes de soutien inattendues et de réduire la capacité d'un attaquant à utiliser des outils légitimes comme levier d'attaque.
Si vous dirigez une organisation, examinez les politiques de collaboration externe dans les équipes, évaluez qui peut commencer ou accepter des séances de participation à distance et mettez en place des alertes pour détecter des modèles inhabituels. Pour les équipements techniques, il est approprié d'examiner les journaux PowerShell et WinRM, de vérifier les modifications du registre et les processus de contrôle qui commencent les connexions HTTPS sortantes à des domaines inhabituels. La combinaison de la formation, des contrôles administratifs et de la détection basée sur le comportement est la meilleure défense contre une classe d'intrusion qui profite de notre confiance dans les outils quotidiens.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...