Il y a quelques jours, les chercheurs de Microsoft ont mis sur la table un dossier qui devrait mettre les alarmes sur n'importe quelle équipe de sécurité : une campagne coordonnée qui combine le phishing, le remplacement de l'identité dans le courrier et une technique plus sophistiquée connue sous le nom d'adversaire-in-el-medium (AitM), dirigée spécialement contre les organisations du secteur de l'énergie. La frappe n'est pas tant la nouveauté des méthodes que la combinaison et la patience avec lesquelles elles sont exécutées., en profitant de services légitimes comme SharePoint pour rendre la tromperie plus sûre.
Le scénario est répété avec une logique efficace : d'abord un compte fiable - appartenant habituellement à un partenaire ou un fournisseur - est compromis et à partir de là les notifications de « partage de documents » sont envoyées en utilisant l'image et les flux habituels de SharePoint. Le lien mène à un formulaire falsifié qui demande des identifiants; lorsque la victime les livre, les agresseurs non seulement gardent le mot de passe, mais profitent de la session active (cookies) pour garder l'accès sans que le propriétaire s'en rende compte.
Une fois à l'intérieur, les attaquants appliquent généralement des règles dans la boîte de réception qui effacent les messages entrants et marquent les courriels comme lus. Cette astuce leur permet d'opérer avec furtivité : la victime ne voit pas les avertissements ou les réponses de ceux qui reçoivent les courriels frauduleux, et tout avis envoyé par des tiers peut être intercepté ou retiré. Avec la boîte aux lettres compromise, les adversaires lancent de nouvelles vagues d'hameçonnage d'une identité « de confiance », élargissant rapidement la portée de la campagne et affectant les contacts internes et externes.
Microsoft décrit ce mode d'exploitation comme une variante de l'approche « living-off-trusted-sites » (LOTS), qui consiste à se soutenir sur des plateformes légitimes - SharePoint, OneDrive, Google Drive, Confluence, etc. - de sorte que les liens malveillants semblent vrais et contournent ainsi les listes ou les contrôles fondés sur la réputation. Vous pouvez lire l'analyse technique que Microsoft a publiée sur son blog de sécurité ici: Multistage AitM phishing et campagne BEC abusant SharePoint.
Ce type d'attaque révèle deux vérités inconfortables : premièrement, le fait de changer le mot de passe n'est pas toujours suffisant, et deuxièmement, que les attaquants s'attendent à ce que des étapes ultérieures restent dans l'environnement. Révocer les sessions actives, supprimer les règles créées par l'attaquant et vérifier les changements dans les paramètres MFA sont des tâches essentielles après une intrusion, selon Microsoft lui-même.
De plus, le paysage de l'ingénierie sociale évolue. Okta a documenté des kits d'hameçonnage conçus pour les campagnes d'avitaillement - l'escroquerie de téléphone dans laquelle l'agresseur se fait passer pour un support technique - et qui permettent de synchroniser ce que l'escroquerie dit sur le téléphone avec ce que l'utilisateur voit dans le navigateur, en contrôlant en temps réel le flux d'authentification. Le résultat est une capacité à neutraliser les méthodes d'authentification qui ne résistent pas au phishing. Le rapport d'Okta sur ces campagnes est disponible ici: Les kits d'hameçonnage s'adaptent au script des appelants.
Les astuces techniques renaissent également avec des astuces « de base » mais efficaces : l'insertion d'identifiants dans les URL (le nom d'utilisateur classique : mot de passe @ domaine) peut être utilisée pour afficher un domaine connu avant le symbole @, même si le navigateur finit par se connecter à un domaine malveillant qui apparaît après le @. Netcraft l'a documenté et expliqué en détail, nous rappelant que l'apparence d'une URL peut être délibérément trompeuse: Phishing rétro : Les URL d'auth de base font une bande dessinée au Japon.
Les techniques d'homoglyphes continuent également d'être utilisées, où les lettres sont remplacées par des combinaisons visuellement similaires (p. ex. "rn" et "m") pour créer des domaines qui semblent légitimes. Netcraft a dit comment cette tactique continue de porter ses fruits pour les attaquants, parce que de nombreux utilisateurs traitent les URL de manière superficielle et n'analysent pas chaque caractère : L'homogène de la technologie inférieure qui ne mourra pas.
Face à tout cela, les recommandations ne sont pas magiques, mais elles sont essentielles : les organisations doivent se diriger vers des méthodes d'authentification qui résistent au phishing - comme les clés FIDO2 ou d'autres mécanismes fondés sur les certificats - et déployer des politiques d'accès conditionnel qui répondent au risque en temps réel. Microsoft conseille également de permettre une évaluation continue de l'accès pour révoquer les sessions et les jetons lorsque l'activité anormale est détectée; la documentation officielle explique comment ces capacités fonctionnent: Défenses de sécurité et Évaluation continue de l'accès.
D'un point de vue opérationnel, il est essentiel que l'équipement de TI et de sécurité inclue dans leurs processus la vérification et le retrait des règles sur les plateaux, la révocation des séances et la vérification des modifications à l'AMF. Il est également essentiel qu'il y ait une coordination avec les fournisseurs d'identité et les équipes d'intervention en cas d'incident, car des mesures isolées - comme une simple restauration par mot de passe - ne peuvent pas couper toutes les voies de persistance que les attaquants ont déjà créées.
Pour l'utilisateur individuel, il convient de garder quelques précautions pratiques : se méfier des courriels demandant des références pour « voir un document », vérifier l'URL réelle avant de saisir des données, éviter d'approuver les demandes de MFA initiées par des appels ou des messages inattendus et signaler tout courrier suspect à l'équipe de sécurité. Lorsque la tromperie arrive au téléphone, la synchronisation entre ce que dit l'agresseur et ce qui apparaît à l'écran est précisément la clé de la fraude; maintenir une attitude critique et vérifier par les canaux officiels est une barrière simple mais efficace.
Le cas récent montre une tendance plus marquée : les attaquants préfèrent profiter de plateformes et de services fiables pour gagner en légitimité et réduire le coût de la construction de leur propre infrastructure. Netcraft a suivi des incidents similaires où des services de stockage partagés sont utilisés pour distribuer à la fois des liens d'hameçonnage et des logiciels malveillants, ce qui montre que la tactique est transversale et persistante: Le spam de document partagé fournit un outil d'accès à distance.
Bref, la défense n'est plus seulement technique, mais aussi organisationnelle et humaine. Une combinaison de contrôles technologiques avancés et de culture de sécurité au sein de l'entreprise est nécessaire détecter et neutraliser les campagnes qui exploitent la confiance entre les partenaires et l'omniprésence des plateformes collaboratives. Les incidents récents sont un rappel : ne sous-estimons ni la ruse des agresseurs, ni l'importance de tâches opérationnelles apparemment « mineures », comme la révision des règles du courrier ou la révocation de sessions actives.
Si vous travaillez en sécurité, vérifiez les guides techniques qui relient et priorisent la mise en œuvre de MFA résistant au phishing, les politiques d'accès conditionnel et les processus de médiation qui incluent le nettoyage des règles et les jetons. Si vous êtes un utilisateur, gardez une suspicion raisonnable à l'égard de demandes inattendues et consultez toujours les canaux officiels avant de fournir des références ou d'approuver l'accès.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...