Michael Sikorski, CTO et responsable du renseignement sur les menaces pour l'Unit 42 chez Palo Alto Networks partage ses recommandations
Attaque Microsoft SharePoint, analyse et recommandations
Unit 42 suit actuellement une campagne de cybermenace de grande ampleur visant les serveurs Microsoft SharePoint on-premise (sur site). Bien que les environnements cloud ne soient pas affectés, les déploiements SharePoint sur site — en particulier dans les administrations, les établissements scolaires, les organismes de santé (y compris les hôpitaux) et les grandes entreprises — sont exposés à un risque immédiat. Nous travaillons en étroite collaboration avec le MSRC (Microsoft Security Response Center) pour garantir que nos clients disposent des dernières informations. Nous informons activement les clients concernés ainsi que d’autres organisations.
MFA et SSO
Les attaquants contournent les contrôles d’identité, y compris l’authentification multifacteur (MFA) et l’authentification unique (SSO), pour obtenir des accès privilégiés. Une fois à l’intérieur, ils exfiltrent des données sensibles, installent des portes dérobées persistantes et volent des clés cryptographiques. Les attaquants exploitent cette vulnérabilité pour s’introduire dans les systèmes et ont déjà commencé à y établir leur présence. Si votre instance SharePoint on-prem est exposée à Internet, il faut partir du principe qu’elle est déjà compromise. L’application d’un correctif à elle seule ne suffit pas à éliminer totalement la menace.
Ce qui rend cette situation particulièrement préoccupante, c’est l’intégration profonde de SharePoint avec l’écosystème Microsoft, notamment les services comme Office, Teams, OneDrive et Outlook, qui concentrent des informations précieuses pour les attaquants. Une compromission ne reste pas isolée : elle ouvre potentiellement l’accès à l’ensemble du réseau.
Les actions à mettre en place
Il s’agit d’une menace de grande gravité et d’une extrême urgence. Nous appelons toutes les organisations exploitant SharePoint on-premise à agir immédiatement :
- Appliquer tous les correctifs disponibles sans attendre et dès leur publication
- Remplacer toutes les clés cryptographiques
- Faire appel à des experts en réponse à incident
Une mesure immédiate et provisoire consisterait à déconnecter l’instance SharePoint d’Internet jusqu’à ce qu’un correctif soit disponible. Une fausse impression de sécurité pourrait entraîner une exposition prolongée et une compromission à grande échelle.
Source : Threat brief de l’Unit 42
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
Articles les + lus
Réforme de la facturation électronique : une préparation largement théorique
Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
Les marchés publics peuvent-ils encore faire émerger des champions numériques français ?
À la une de la chaîne Enjeux IT
- Réforme de la facturation électronique : une préparation largement théorique
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Les marchés publics peuvent-ils encore faire émerger des champions numériques français ?
