En juillet 2025, une vague mondiale de cyberattaques a ciblé des dizaines de milliers de serveurs Microsoft SharePoint, suite à l’exploitation active de deux failles zero-day critiques. Ces vulnérabilités, baptisées ToolShell (référencées CVE-2025-53770 et CVE-2025-53771), permettent aux attaquants d’exécuter du code à distance sans authentification, mettant ainsi en péril la sécurité d’organisations publiques et privées dans le monde entier.
Origine et nature des failles
Ces deux failles ont été détectées sur les versions on-premise de Microsoft SharePoint Server, notamment sur SharePoint Subscription Edition, SharePoint 2019 et SharePoint 2016 (pour lequel le patch est toujours en préparation). Contrairement à SharePoint Online (intégré à Microsoft 365), ces serveurs locaux sont particulièrement vulnérables du fait de mises à jour parfois différées.
Les failles permettent une exécution de code à distance sans authentification préalable, un vecteur d’attaque particulièrement critique car il ouvre la porte à l’installation de portes dérobées, au vol d’informations sensibles, ou à la compromission totale des infrastructures.
Étendue et impact des attaques
Selon les premières analyses, environ 8 000 à 9 000 serveurs SharePoint ont déjà été compromis dans près de 100 organisations à travers le globe, incluant des entités gouvernementales, des entreprises stratégiques, des établissements universitaires et des secteurs clés tels que la santé et l’énergie.
L’impact de ces compromissions est considérable : des pirates informatiques, dont certains liés à des groupes étatiques, ont pu accéder à des données confidentielles, voler des clés cryptographiques, installer des malwares persistants, et contourner des mécanismes de sécurité avancés comme l’authentification multifactorielle.
Acteurs impliqués et méthodes d’attaque
Les groupes de cyberespionnage chinois connus sous les noms de code Violet Typhoon, Linen Typhoon et Storm-2603 ont été désignés comme principaux auteurs de ces attaques par Microsoft. Ces acteurs exploitent les vulnérabilités ToolShell en chaîne, exploitant la première faille pour contourner les correctifs de la seconde et infiltrer les serveurs.
Les attaques s’appuient sur des techniques avancées, permettant notamment de masquer la présence des intrusions, d’exfiltrer discrètement des données et de se déplacer latéralement au sein des réseaux compromis.
Réactions des autorités et mesures d’urgence
Face à la gravité de la situation, Microsoft a publié en urgence des correctifs pour SharePoint Subscription Edition et SharePoint 2019. Cependant, la mise à jour pour SharePoint 2016 est encore en cours de développement, laissant une partie des serveurs vulnérables.
Les agences nationales de cybersécurité, dont la CISA aux États-Unis, ont exhorté les organisations à appliquer immédiatement les patchs disponibles, à isoler les serveurs affectés, à modifier les clés cryptographiques et à réaliser des audits de sécurité pour détecter toute compromission.
Enjeux pour la cybersécurité mondiale
Cette crise souligne les limites de la gestion des infrastructures on-premise dans un contexte où les cyberattaques deviennent de plus en plus sophistiquées et rapides. Elle met en lumière la nécessité impérative pour les organisations de :
- Maintenir leurs systèmes à jour en temps réel
- Renforcer les dispositifs de détection et de réponse aux intrusions
- Revoir leurs stratégies de sécurité autour des environnements hybrides et cloud
Par ailleurs, cet épisode chez microsoft illustre les risques géopolitiques liés aux cyberattaques, puisque des États utilisent ces vulnérabilités pour espionner, déstabiliser ou prendre l’avantage stratégique dans la guerre numérique.
Conclusion
La découverte et l’exploitation des failles ToolShell dans Microsoft SharePoint ont provoqué une crise de cybersécurité mondiale, mettant en danger des dizaines de milliers de serveurs critiques. Cette situation impose une vigilance accrue, une réaction rapide pour appliquer les correctifs, et une remise en question des stratégies de sécurité à l’échelle internationale. Les entreprises et institutions doivent impérativement renforcer leur résilience face à des menaces désormais capables de contourner même les protections les plus sophistiquées.
