Piratage de Microsoft SharePoint : les États-Unis, des gouvernements locaux et des entreprises touchés dans le monde entier

 (washingtonpost.com)
6 points par GN⁺ 2025-07-22 | 1 commentaires | Partager sur WhatsApp
  • Une vulnérabilité critique des serveurs Microsoft SharePoint a été exploitée, entraînant des attaques informatiques contre des organismes et des entreprises du monde entier, notamment des agences fédérales et des États américains, des universités, des entreprises de l’énergie et des opérateurs télécoms asiatiques
  • Ce piratage visait une vulnérabilité "zero-day" sans correctif disponible, exposant des dizaines de milliers de serveurs SharePoint à des risques. Microsoft n’a publié des correctifs que pour certaines versions, tandis que les autres restent vulnérables
  • Les attaquants ont provoqué des dommages graves, notamment le vol de données sensibles, la collecte de mots de passe et l’obtention de clés pour de nouvelles intrusions. Dans certains cas, jusqu’aux dépôts de documents publics gouvernementaux ont été « pris en otage », bloquant l’accès
  • L’ampleur des dégâts dépasse les États-Unis et s’étend à l’Europe, à l’Asie, à l’Amérique du Sud et à d’autres régions du monde. Le FBI, la CISA et d’autres organismes ont engagé une réponse d’urgence et un partage d’informations
  • Microsoft fait l’objet de critiques depuis plusieurs années en raison d’incidents de sécurité répétés, et cette affaire remet une nouvelle fois en lumière des limites structurelles comme le retard des correctifs, la faiblesse du dispositif de sécurité et la possibilité de réintrusion des attaquants

Piratage des serveurs Microsoft SharePoint

  • Des attaquants inconnus ont utilisé une faille de sécurité non divulguée dans SharePoint, le logiciel collaboratif de Microsoft, pour viser des organismes et des entreprises à l’échelle mondiale, notamment des agences fédérales et des États américains, des universités, des entreprises de l’énergie et des opérateurs télécoms asiatiques
  • Cette attaque ciblait une vulnérabilité zero-day (0-day), entraînant divers dommages, dont des fuites et vols de données au sein des serveurs ainsi que l’obtention de clés de chiffrement

Situation de la vulnérabilité et des correctifs

  • Selon les experts, des dizaines de milliers de serveurs SharePoint sont en danger. Les cibles se limitent aux serveurs on-premise, tandis que les versions cloud (comme Microsoft 365) ne sont pas affectées
  • Microsoft a publié dimanche un correctif pour une version, mais deux versions restent encore sans correctif. Les organisations touchées mettent en place leurs propres réponses et mesures temporaires
  • Même après l’application des correctifs, les attaquants peuvent revenir via les clés déjà obtenues, ce qui souligne qu’un patch rapide ne suffit pas à lui seul à restaurer la sécurité

Portée de l’attaque et des dégâts

  • CrowdStrike, Palo Alto Networks, Eye Security et plusieurs autres sociétés de cybersécurité ont confirmé la compromission de plusieurs dizaines d’organismes et d’entreprises
  • Les entités touchées sont variées : agences fédérales et États américains, institutions gouvernementales européennes, universités, entreprises énergétiques et opérateurs télécoms asiatiques
  • Dans un État américain, le dépôt officiel de documents d’information destiné aux habitants a été piraté et rendu inaccessible ; certains redoutent aussi des attaques de type wiper, capables d’effacer totalement les données

Réponse du secteur de la sécurité et des gouvernements

  • Des agences américaines comme le FBI et la CISA mènent une enquête immédiate et une réponse coordonnée
  • La CISA a indiqué avoir collaboré avec Microsoft dès la réception d’un signalement émanant d’une société privée de cybersécurité, en poussant au développement de correctifs
  • Le Center for Internet Security et d’autres organismes ont envoyé des alertes d’urgence sur la vulnérabilité à environ 100 organisations ; la baisse marquée des effectifs consacrés au partage d’informations et à la réponse aux incidents, sous l’effet de coupes budgétaires, complique la gestion de la crise

Microsoft et les polémiques de sécurité à répétition

  • Microsoft a vu la confiance des organismes publics et des clients gouvernementaux s’éroder à la suite d’une série de piratages au cours des deux dernières années (par exemple : le piratage d’e-mails gouvernementaux attribué à la Chine en 2023, la compromission de son propre réseau, des erreurs de programmation dans le cloud, etc.)
  • Ce nouvel incident remet en évidence des limites structurelles telles que le retard des correctifs, la non-prise en compte de similarités entre vulnérabilités et une gestion de la sécurité répétitivement défaillante
  • La polémique autour du recours à des ingénieurs basés en Chine pour soutenir les effectifs liés au cloud du département américain de la Défense a également ravivé les inquiétudes sur la dépendance du secteur public à Microsoft

Conclusion et perspectives

  • Cette affaire montre qu’une seule vulnérabilité dans une solution collaborative à grande échelle peut avoir de graves répercussions sur d’innombrables organismes et entreprises dans le monde
  • Les attaquants pouvant maintenir une présence durable même après le patch, grâce notamment aux clés de chiffrement obtenues, un renforcement de la sécurité plus fondamental est nécessaire au-delà du simple déploiement de correctifs
  • La réduction des effectifs et des budgets de sécurité, ainsi que l’absence de gouvernance IT, sont pointées comme des faiblesses structurelles dans la réponse du secteur public aux cybermenaces

À lire aussi

1 commentaires

 
GN⁺ 2025-07-22
Avis Hacker News

  • La CISA a recommandé aux organisations concernées par cette faille de sécurité de déconnecter le produit d’Internet jusqu’à la publication d’un correctif officiel, mais je trouve intéressant que certaines organisations hébergent encore SharePoint on-premise tout en l’exposant à Internet ; je pensais que la plupart d’entre elles imposeraient au minimum un VPN

    • Je trouve regrettable que la CISA soit devenue, par rapport au passé, une organisation qui a perdu des talents concrets et privilégie surtout la conformité politique ; un cas récent montre que l’Arizona a été attaqué par des hackers iraniens sans demander d’aide lien vers l’article. Une organisation comme la CISA, capable d’enquêter sur des attaques à grande échelle, est vraiment essentielle, et il est inquiétant de la voir désormais soumise à des critères politiques lien Techdirt

    • La bonne pratique consiste à partir du principe que le réseau est déjà compromis. Un VPN n’offre pas non plus une garantie de sécurité parfaite ; plus une organisation est grande, plus il est facile de perdre le contrôle des appareils ou de mal les gérer. D’où l’importance d’une approche « zero trust » et d’un accès possible depuis n’importe où. Les organisations veulent garder le contrôle des données tout en conservant de la flexibilité dans le travail

    • SharePoint a aussi été activement promu à l’origine pour héberger des sites web publics. Avant la migration vers le cloud, des commerciaux de Microsoft venaient même dans les bureaux expliquer que le dernier SharePoint allait faire disparaître WordPress. À cause de cette inertie, beaucoup d’organisations restent encore sur ces anciens usages

    • Il n’est pas rare non plus d’exploiter des services internes comme SharePoint ou Exchange derrière un pre-auth reverse proxy

    • Microsoft a beaucoup commercialisé SharePoint comme solution d’intranet par le passé, ce qui explique son adoption dans de nombreuses institutions. Avec la fin de support de SharePoint 2019, beaucoup d’organisations cherchent à mettre en place rapidement un système de remplacement

  • Je me demande pourquoi le Principal Engineer Copilot n’a pas empêché ce type de faille

    • La vulnérabilité existait peut-être déjà avant que Copilot obtienne ce titre ; ça pouvait même remonter à l’époque où c’était un stagiaire

    • Les hackers, les clients, les employés, les administrateurs, tout ça se ressemble. On s’est fait pirater encore et encore par la Chine, par nos propres clients, et par des administrateurs ou employés basés en Chine. J’ai l’impression que toute l’entreprise est déjà infiltrée ; je me méfie au point de penser que le PE copilot pourrait plutôt aider les attaques

    • Les hackers peuvent eux aussi utiliser Copilot, donc au final il y aura forcément un camp qui gagnera (?)

  • J’ai passé beaucoup trop de temps sur SharePoint ; l’exposer à Internet n’est absolument pas une bonne idée. Il me semble qu’à partir d’une certaine version, Microsoft l’a aussi promu pour des serveurs web publics, mais de mon côté j’installais plutôt toutes les instances en les isolant sur le réseau

    • Au début des années 2010, Microsoft a fortement marketé SharePoint comme solution pour les sites Internet, et j’ai même vu des constructeurs automobiles européens comme BMW ou Ferrari l’utiliser pour leurs sites marketing globaux. Mais comme ça coûtait quelque chose comme 40 000 dollars par site, ça n’a pas duré longtemps

    • Quand j’ai utilisé SharePoint brièvement il y a plusieurs années, je pensais que l’hébergement web public était justement sa vocation d’origine

  • J’ai souvent entendu circuler, parmi les employés du Pentagone, la blague disant que « si on veut faire tomber l’armée américaine, il suffit de supprimer SharePoint ». C’est un gag qui revient tout le temps dans les discours militaires

    • À une époque, on utilisait énormément SharePoint dans l’organisation

  • Mon flux d’alertes de sécurité en temps réel a repéré cette info avant les grands médias flux ZeroDayPublishing

    • Je me demande s’ils proposent aussi un flux RSS

  • Dans l’activité enterprise on-premise, j’aimerais voir davantage de Red Hat que de Microsoft. Une faille comme celle-ci est inacceptable, surtout pour des clients critiques comme le DoD. Alors qu’on entend souvent dire qu’on ne peut pas percer Google, beaucoup d’agences gouvernementales utilisent encore des solutions on-premise fragiles comme SharePoint. Je me demande pourquoi elles ne passent pas plutôt à des distributions Linux moins chères et plus répandues. La sécurité n’est-elle pas censée être la priorité absolue ?

    • À mon avis, c’est parce que Microsoft sait très bien naviguer dans les contraintes réglementaires et les procédures bureaucratiques propres aux administrations. Je ne connais pas d’acteur côté Linux qui fasse aussi bien à ce niveau

  • Je me demande si Microsoft a réellement déjà fait administrer des serveurs du département de la Défense américain par des employés basés en Chine. J’imagine qu’ils utilisent aussi SharePoint au sein du DoD

    • Il existe bien une version distincte de M365 utilisée par le DoD, avec notamment SPO, mais cela n’a rien à voir avec cet article

    • Lien vers l’article correspondant article Reuters

    • Pour citer l’article : « Des défauts de programmation dans des services cloud ont permis à des hackers liés à la Chine de voler des e-mails du gouvernement fédéral, et ProPublica a révélé que Microsoft employait encore récemment du personnel chinois pour fournir du support dans un programme cloud du département de la Défense. Le secrétaire à la Défense a ordonné une révision complète de la situation. »

  • J’ai été frappé par le fait qu’après les coupes budgétaires massives infligées à la CISA, les effectifs dédiés à la réponse aux incidents ont eux aussi chuté de 65 %, ce qui a considérablement ralenti la gestion de la crise

    • Je ne sais même pas ce qui est le plus révoltant : la perte massive d’emplois qualifiés, ou le fait qu’après toutes ces coupes ils n’aient pratiquement trouvé aucun gaspillage réel. C’est franchement absurde

  • Ça va peut-être en agacer certains, mais une part de moi espère qu’il y aura encore plus d’incidents de ce genre pour que les entreprises arrêtent enfin d’utiliser SharePoint. Je n’y ai pas touché depuis 2017, mais à chaque fois c’était une expérience affreuse, au point que je portais même un t-shirt « SharepoIT Happens ». Tous mes collègues étaient d’accord pour dire qu’ils détestaient SharePoint

    • Tant qu’on n’arrête pas d’utiliser M365, on ne peut pas vraiment arrêter d’utiliser SharePoint. Par exemple, quand on crée une équipe dans Teams, cela crée automatiquement un groupe M365, et chaque groupe a son site SharePoint et sa boîte mail Exchange. Les fichiers des canaux sont stockés dans SharePoint, les messages dans Exchange, et les fichiers personnels dans OneDrive (= SharePoint). En pratique, tout M365 est construit sur SharePoint et Exchange

    • J’ai travaillé autrefois dans une entreprise qui avait tenté de déployer un système DRM automatique basé sur SharePoint. Quand on déposait un document, SharePoint appliquait automatiquement un DRM, et quand l’utilisateur le téléchargeait, le fichier ne pouvait être ouvert que sur des appareils autorisés. Mais selon la méthode de connexion utilisée, il était aussi possible de récupérer des fichiers sans DRM, et même les consultants Microsoft n’ont pas réussi à corriger le problème

    • Dans notre entreprise, on a à la fois SharePoint et un site interne distinct pour les documents et notes, du type Notion/Quip/Confluence. La plupart des développeurs utilisent le second. Mais comme certains employés ne déposent que des fichiers Word, tout le monde est malgré tout forcé d’utiliser SharePoint, et il faut donc chercher les documents à deux endroits

    • Mon manager m’a fait configurer SharePoint pendant plus d’un an, mais après six mois à réellement regarder le sujet, ça me paraissait très médiocre. Finalement, il a recruté un autre technicien qui l’a installé en une journée, puis personne ne s’en est servi. Tout ce qu’il m’en est resté, c’est le vol de ma clé USB haut débit

    • Pour une entreprise de taille intermédiaire qui travaille avec des agences publiques, même quand il existe de meilleures solutions, elles sont très peu utilisées. Les exigences en cybersécurité sont si nombreuses que SharePoint devient la « seule » option commercialement viable. Même si SharePoint est pénible à utiliser, les alternatives sont considérées comme « risquées ». Entre l’impossibilité de faire défiler correctement des listes de fichiers, les problèmes d’automatisation, les connexions cassées entre tenants M365, les URL illisibles, la mauvaise qualité de la recherche, les bugs sur les tableaux et filtres, ou encore l’interface de gestion des permissions introuvable, les motifs de plainte ne manquent pas. Ce ne sont pas des problèmes qu’on devrait avoir à chercher sur Google pour pouvoir les corriger

  • Si je siégeais au conseil d’administration d’une entreprise, je ne ferais jamais confiance à un CTO ou à un fondateur qui recommanderait volontairement l’adoption de solutions Microsoft. Chaque fois que je clique sur un lien Microsoft Office dans Teams, ma défiance envers Microsoft augmente. Alors apprendre qu’il y a une faille dans SharePoint ne me surprend absolument pas