Un exploit critique permet l’injection de portes dérobées avant toute authentification. Des géants industriels, des hôpitaux et des agences gouvernementales figurent déjà parmi les cibles. Microsoft et les CERT appellent à une vigilance renforcée.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Il y a quelques jours, une vulnérabilité critique de type « zero-day » a été découverte dans Microsoft SharePoint Server. D’abord perçue comme une faille technique isolée, elle s’est révélée être au cœur d’une campagne de piratage d’ampleur inédite. Ce défaut de sécurité permet à des attaquants d’exécuter du code arbitraire sur les serveurs cibles, avant même toute authentification. L’exploitation active a été détectée par l’entreprise néerlandaise Eye Security, rapidement relayée par la Shadowserver Foundation, qui confirme une vague de compromissions en cours.
Initialement repérée sur une poignée de systèmes – environ 85 serveurs selon les premières observations – l’attaque s’est révélée bien plus large que prévu. À l’heure actuelle, plus de 100 organisations ont été confirmées comme victimes, parmi lesquelles figurent des multinationales, des entreprises industrielles sensibles, des hôpitaux et des administrations publiques. La majorité des compromissions concerne des entités situées aux États-Unis et en Allemagne, mais la propagation est mondiale.
Une porte d’entrée avant identification, une persistance après patch
La faille, désormais référencée sous le code CVE-2025-49706, affecte spécifiquement les installations locales de Microsoft SharePoint Server. Elle repose sur un processus de désérialisation de données non fiables, permettant à un acteur malveillant d’exécuter du code sans avoir besoin de s’authentifier sur le serveur. Cette caractéristique rend l’attaque particulièrement redoutable : elle contourne les protections de base, infiltre les systèmes, et permet l’installation d’un backdoor persistant dans l’infrastructure.
Une fois la brèche exploitée, les attaquants récupèrent des clés cryptographiques sensibles – notamment les clés MachineKey, utilisées pour la validation et le chiffrement des sessions. Ces éléments permettent ensuite de générer du trafic qui semble parfaitement légitime aux yeux du serveur cible, même après l’installation des correctifs de sécurité. Les requêtes malveillantes sont ainsi indétectables par les filtres traditionnels, et la compromission se prolonge en toute discrétion.
Des chercheurs décrivent une chaîne d’infection redoutablement efficace. L’attaque commence avant l’authentification, se poursuit à l’aide de scripts PowerShell, de fichiers ASPX malveillants, et de techniques d’exfiltration directe depuis la mémoire vive du serveur. L’objectif : récupérer des secrets, contourner les journaux système, et pivoter à l’intérieur du réseau à grande vitesse, sans nécessité de ré-exploiter la faille.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Des milliers de serveurs vulnérables encore exposés
La Shadowserver Foundation estime que jusqu’à 9 000 serveurs SharePoint accessibles depuis Internet pourraient être vulnérables à l’attaque. Les secteurs concernés sont critiques : entreprises industrielles, établissements de santé, cabinets d’audit, institutions bancaires, organismes publics. Le risque d’espionnage économique ou d’interruption de service est donc majeur.
Data Security Breach vous alerte également sur un danger moins visible : la simple présence de la vulnérabilité peut signifier qu’un accès clandestin a déjà été pris. Il ne suffit donc plus de déployer les mises à jour. Il est désormais recommandé de procéder à un audit complet des systèmes, voire à leur isolement en cas de doute sérieux.
Microsoft, de son côté, a reconnu la gravité de la situation. Des mises à jour de sécurité ont été publiées, accompagnées de recommandations urgentes. Toutefois, l’éditeur souligne que les correctifs seuls ne suffisent pas si les attaquants ont déjà obtenu les clés de chiffrement critiques. Pour se protéger, Microsoft préconise également l’activation de l’interface de scan antimalware (AMSI), le déploiement de Microsoft Defender sur les hôtes concernés, et – en cas d’urgence – la coupure de la connexion Internet des serveurs affectés.
Une campagne en chaîne, et des traces menant vers la Chine
Plus inquiétant encore : la faille CVE-2025-49706 est désormais exploitée en tandem avec une autre vulnérabilité, non nommée pour l’instant. Cette combinaison permet de transformer une simple requête HTTP avec un en-tête Referer pointant vers le chemin /_layouts/SignOut.aspx en une attaque complète, équivalente à celle connue sous le nom CVE-2025-53770. Cette technique de contournement minimaliste est actuellement utilisée activement dans des campagnes mondiales, selon les experts Palo Alto Networks.
Quant à l’origine des attaques, aucun groupe n’a encore revendiqué cette campagne sophistiquée. Cependant, les données de Google sur le trafic global ont permis d’établir un lien potentiel avec une groupe APT opérant depuis la Chine. Cette hypothèse reste à confirmer, mais elle est prise au sérieux par les services de renseignement. L’ambassade chinoise, sollicitée, n’a pas souhaité commenter ces accusations. A noter que l’Ip est Chinoise, les pirates sont trés certainement à des milliers de kilomètres de ce pays.
Aux États-Unis, le FBI est désormais saisi de l’affaire, tout comme le National Cyber Security Centre (NCSC) britannique. Les deux entités coopèrent activement avec des partenaires publics et privés pour évaluer l’impact et identifier les vecteurs d’intrusion.
La réaction d’urgence ne suffit plus : les entreprises doivent revoir leur modèle de sécurité
Cette attaque marque un tournant dans la stratégie des cybercriminels. Elle démontre que la compromission d’un serveur peut précéder toute détection, et qu’un patch appliqué tardivement est souvent inutile. Pire encore : certains systèmes sont aujourd’hui silencieusement compromis, en apparence sains, mais manipulés en profondeur. Le modèle de sécurité défensif classique – identifier, patcher, surveiller – montre ici ses limites.
Pour les entreprises utilisant Microsoft SharePoint, il ne s’agit plus d’un simple avertissement. C’est un appel à l’action immédiat, mais aussi à une refonte stratégique. La résilience numérique passe désormais par une surveillance proactive, des journaux renforcés, des audits réguliers de configuration, de la veille sérieuse du web et du dark web comme le propose la référence sur ce sujet, le Service Veille de ZATAZ, et des simulations d’intrusion pour évaluer la surface d’attaque réelle. Le recours à des plateformes cloisonnées, la segmentation réseau, et l’automatisation des détections doivent redevenir prioritaires.
Face à une menace qui évolue aussi vite que les correctifs, seule une vision stratégique et systémique de la cybersécurité permettra de contenir l’impact. Les organisations doivent cesser de traiter les failles comme de simples bugs techniques, et commencer à les voir comme des opportunités offertes à leurs adversaires les plus déterminés.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
