« Urgent et radical » : Microsoft SharePoint piraté, des dizaines de gouvernements et entreprises touchés, et la menace persiste

Le paysage de la cybersécurité mondiale a été récemment secoué par une attaque majeure ciblant Microsoft SharePoint, la plateforme collaborative largement utilisée par de nombreuses entreprises et administrations à travers le monde. Cette cyberattaque, qualifiée par les experts d’« urgente et radicale », exploite des vulnérabilités critiques encore non corrigées dans plusieurs versions on-premise de SharePoint. Elle a déjà compromis plus de 50 entreprises et plusieurs gouvernements, avec un nombre de victimes qui continue d’augmenter. Retour détaillé sur cet incident alarmant.

1. Le contexte : SharePoint, un maillon essentiel mais vulnérable

Microsoft SharePoint est une solution de gestion de contenu, de collaboration et de partage de documents utilisée par des centaines de milliers d’organisations dans le monde. De nombreuses entités utilisent des versions dites « on-premise » (installées localement dans leurs infrastructures) pour des raisons de sécurité, confidentialité ou conformité.

Or, c’est précisément cette version locale qui est la cible d’une exploitation zero-day (faille inconnue jusqu’à l’attaque) depuis juillet 2025. Deux vulnérabilités critiques (référencées CVE‑2025‑53770 et CVE‑2025‑53771) ont été identifiées. Elles permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance, donnant un contrôle total sur le serveur compromis.

2. Chronologie et ampleur de l’attaque

La découverte de ces failles a été rendue publique aux alentours du 18 juillet 2025, suite à des alertes émises par la société de cybersécurité Eye Security et confirmées par plusieurs équipes de recherche.

  • Exploitations rapides et massives : Quelques jours seulement après la publication des vulnérabilités, des hackers ont commencé à les exploiter activement.
  • Nombre de victimes : Selon une analyse conjointe de Shadowserver et Shodan, plus de 8 000 serveurs SharePoint restent vulnérables. À ce jour, environ 100 organisations ont déjà été compromises, parmi lesquelles plus de 50 grandes entreprises, plusieurs gouvernements fédéraux et locaux (États-Unis, Canada, Australie, pays européens), des universités, établissements de santé et opérateurs énergétiques.
  • Secteurs concernés : Au-delà du secteur public, des acteurs privés issus de la fintech, de l’intelligence artificielle, des télécommunications ou encore de l’éducation ont été touchés. Certains gouvernements font état de pertes sensibles d’accès à des documents officiels.

3. Mécanismes et risques liés aux vulnérabilités

Les failles découvertes dans SharePoint on-premise présentent plusieurs caractéristiques particulièrement préoccupantes :

  • Exécution de code à distance sans authentification : L’attaquant peut prendre le contrôle complet du serveur sans avoir besoin d’un compte utilisateur.
  • Vol de clés cryptographiques et accès pérenne : Les pirates peuvent extraire des clés de chiffrement et installer des portes dérobées, assurant ainsi un accès permanent aux systèmes même après la correction des vulnérabilités.
  • Potentiel de diffusion latérale : Les hackers peuvent ensuite se déplacer au sein des réseaux internes, mettant en danger des données sensibles, les systèmes financiers ou les infrastructures critiques.

Cette situation est d’autant plus grave que Microsoft recommande de ne pas se fier uniquement à l’application des correctifs, car les accès malveillants déjà établis peuvent subsister.

4. Réactions et mesures recommandées

Microsoft a publié en urgence des mises à jour pour SharePoint Server 2019 et Subscription Edition. Pour SharePoint 2016, les correctifs sont encore en développement, ce qui ajoute à la complexité de la situation.

Les experts en cybersécurité et autorités recommandent :

  • Appliquer immédiatement les correctifs disponibles sur les versions concernées.
  • Activer la protection AMSI (Antimalware Scan Interface) pour détecter et bloquer des comportements suspects.
  • Remplacer toutes les clés cryptographiques utilisées sur les serveurs affectés pour prévenir la réutilisation par des attaquants.
  • Effectuer un audit complet de sécurité pour détecter toute compromission préalable à la correction.
  • Envisager la déconnexion temporaire des serveurs vulnérables d’Internet en attendant la mise à jour.
  • Procéder à une réponse d’incident approfondie, incluant la reconstruction complète des systèmes si nécessaire.

5. Impacts à long terme et perspectives

Cette attaque souligne la fragilité des systèmes d’information traditionnels basés sur des logiciels on-premise, surtout lorsque des correctifs ne sont pas déployés rapidement. Elle rappelle également que la cybersécurité ne s’arrête pas à la simple installation d’un patch, mais nécessite une surveillance constante et des stratégies de détection et de réponse aux intrusions.

Pour de nombreuses entreprises et institutions, cet épisode pourrait entraîner des pertes financières majeures, une fuite d’informations sensibles et une perte de confiance durable. En outre, la persistance des accès compromis laisse entrevoir un risque prolongé d’attaques secondaires (extorsion, espionnage industriel, sabotage).

Conclusion

L’attaque récente sur Microsoft SharePoint on-premise est une alerte majeure pour toutes les organisations utilisant cette plateforme. Elle met en lumière la nécessité d’une gestion proactive des vulnérabilités et d’une stratégie de cybersécurité robuste, associant correctifs rapides, audits, remédiations approfondies et sensibilisation continue.

Face à la menace grandissante, il est urgent que les équipes informatiques et les directions générales prennent conscience de la gravité de la situation et agissent sans délai pour protéger leurs infrastructures critiques.

carle
carle

Publications similaires

🔥Recommandations

Amazfit T-Rex 2
Withings ScanWatch
Tecno Camon 30 Premier 5G
Tecno Camon 30 5G