Attaque Zero-Day contre Microsoft SharePoint : des serveurs gouvernementaux et d'entreprise compromis dans le monde entier
Vague dévastatrice de cyberattaques : une vulnérabilité « zero-day » dans Microsoft SharePoint expose les infrastructures critiques
À l'ombre des monuments de Washington, des équipes de sécurité ont travaillé tout le week-end dans une course désespérée contre la montre. Leur mission : corriger les serveurs gouvernementaux critiques avant que des attaquants sophistiqués ne puissent pénétrer plus profondément dans les réseaux qui protègent les secrets nationaux et les services essentiels.
La crise a débuté il y a seulement deux jours lorsque Microsoft a confirmé ce que les experts en cybersécurité craignaient : une nouvelle vulnérabilité « zero-day » dévastatrice dans le logiciel SharePoint Server, qui permet aux attaquants de contourner silencieusement même les mesures de sécurité les plus robustes, leur donnant potentiellement un contrôle total sur les systèmes compromis.
« Nous parlons d'une vulnérabilité qui rend l'authentification multifacteur inutile », a déclaré un analyste principal en cybersécurité, qui a requis l'anonymat en raison des efforts de remédiation en cours. « C'est comme découvrir que toutes vos serrures ne fonctionnent plus soudainement, mais en pire – car quelqu'un aurait pu être à l'intérieur depuis des jours avant que vous ne le remarquiez. »
Fiche d'information : Cyberattaques « zero-day » contre Microsoft SharePoint (juillet 2025)
| Catégorie | Détails |
|---|---|
| Produits vulnérables | SharePoint Server sur site (Édition d'abonnement, 2019 ; 2016 en attente) |
| Entités impactées | Gouvernements, entreprises, éducation, santé (75 à 85 brèches confirmées) |
| Vulnérabilités (CVEs) | CVE-2025-53770, CVE-2025-53771 (« ToolShell ») |
| Capacités d'exploitation | Exécution de code à distance (RCE) non authentifiée, mouvement latéral, contournement MFA/SSO, exfiltration de données |
| État des correctifs | Mises à jour publiées pour l'Édition d'abonnement/2019 ; 2016 en cours (au 21 juillet) |
| Directives de Microsoft | Correction immédiate, activation d'AMSI, rotation des clés machine, isolation des serveurs non corrigés |
| Action de la CISA | Ajouté au catalogue des vulnérabilités exploitées connues ; correction fédérale obligatoire |
| Risques critiques | Les identifiants volés/backdoors peuvent persister après le correctif ; compromission de tout le réseau possible |
L'exploit « ToolShell » : une clé passe-partout numérique
Les failles critiques, officiellement désignées sous les noms CVE-2025-53770 et CVE-2025-53771, mais collectivement surnommées « ToolShell » par les chercheurs, exploitent la manière dont SharePoint gère la désérialisation des données – un processus qui convertit des données complexes en code utilisable.
Ce problème apparemment technique a de profondes implications dans le monde réel. Les attaquants peuvent injecter du code malveillant directement dans les serveurs, obtenir un accès de niveau administrateur et se déplacer latéralement à travers les réseaux connectés – le tout en apparaissant comme des utilisateurs légitimes. Le plus alarmant est qu'ils peuvent voler des clés cryptographiques et implanter des portes dérobées persistantes qui subsistent même après l'application des correctifs.
Au moins 75 à 85 compromissions de serveurs ont été confirmées depuis le 18 juillet, avec des cibles incluant des agences gouvernementales, des organisations de santé, des établissements d'enseignement et de grandes entreprises.
« Ce qui rend cela particulièrement dangereux, c'est la façon dont l'attaque se fond dans l'activité normale de SharePoint », a expliqué un spécialiste en renseignement sur les menaces au sein d'une grande entreprise de cybersécurité. « Vous recherchez des anomalies subtiles dans une mer d'opérations de routine. C'est extraordinairement difficile à détecter. »
Les pompiers numériques : au cœur de la réponse d'urgence de Microsoft
Microsoft a publié hier des mises à jour de sécurité critiques pour SharePoint Subscription Edition et SharePoint 2019, les mises à jour pour les versions plus anciennes étant toujours en cours de développement. Les équipes de réponse aux incidents de l'entreprise travaillent 24 heures sur 24.
Les directives de Microsoft sont sans ambiguïté : appliquer les correctifs immédiatement. Pour les organisations incapables de déployer les mises à jour tout de suite, la recommandation est tout aussi claire : déconnecter les serveurs vulnérables d'Internet jusqu'à ce qu'ils puissent être sécurisés.
« Même après l'application des correctifs, les organisations sont confrontées à une question troublante », a fait remarquer un ancien responsable de la CISA. « Si les attaquants étaient présents avant le correctif, qu'ont-ils pris ? Quelles portes dérobées ont-ils laissées ? Le nettoyage va bien au-delà de la simple application de mises à jour. »
Au-delà de SharePoint : un été de chaos numérique
L'attaque contre SharePoint représente la dernière d'une escalade inquiétante de menaces cybernétiques sophistiquées. Depuis fin juin, le paysage numérique a été secoué par une série d'incidents très médiatisés :
Le cauchemar des 16 milliards de mots de passe
Le mois dernier, des chercheurs en cybersécurité ont découvert ce qui pourrait être la plus grande fuite d'identifiants de l'histoire – plus de 16 milliards d'identifiants d'utilisateur, de jetons et de cookies exposés sur le dark web. Cette gigantesque collection inclut des informations de connexion pour des plateformes majeures telles que Facebook, Apple, Google et Telegram.
« Ce n'est pas juste une autre violation de données », a déclaré un chercheur en menaces. « Le volume et la qualité de ces identifiants suggèrent qu'ils ont été récoltés via des logiciels malveillants de vol d'informations sophistiqués. Nous constatons des niveaux sans précédent de prises de contrôle de comptes et de campagnes de phishing sophistiquées en conséquence. »
Les infrastructures critiques sous siège
Parallèlement à ces attaques, les infrastructures critiques ont subi une pression incessante. La vulnérabilité « CitrixBleed 2 » a donné lieu à plus de 11,5 millions de tentatives d'exploitation contre les équipements réseau qui protègent les systèmes sensibles. Pendant ce temps, les plateformes de sécurité d'Ivanti – largement utilisées dans les systèmes de contrôle industriels – ont été compromises par de multiples exploits « zero-day ».
Le secteur de la vente au détail a été particulièrement touché, avec une augmentation de 58 % des attaques par rançongiciel à l'échelle mondiale au deuxième trimestre 2025. Les établissements de santé restent des cibles privilégiées, le groupe de rançongiciel Qilin menant une vague d'attaques contre les hôpitaux et les installations médicales.
« Ce à quoi nous assistons est une convergence sans précédent des menaces », a observé un intervenant expérimenté en matière d'incidents. « Les techniques des États-nations sont adoptées par des groupes criminels, tandis que les opérateurs de rançongiciels démontrent des capacités autrefois limitées aux hackers gouvernementaux d'élite. Les frontières se sont complètement estompées. »
L'échiquier géopolitique
Ces attaques se produisent dans un contexte de tensions géopolitiques accrues, les groupes liés à des États ciblant de plus en plus les infrastructures gouvernementales et de défense. Le groupe APT nord-coréen BlueNoroff a été le pionnier de l'utilisation d'appels vidéo deepfake pour distribuer des logiciels malveillants, tandis que Salt Typhoon, lié à la Chine, s'est concentré sur les fournisseurs de télécommunications.
« Ce ne sont pas des incidents isolés », a souligné un analyste du renseignement. « Ils représentent une stratégie coordonnée visant à compromettre les infrastructures techniques occidentales. L'attaque contre SharePoint porte les marques d'une activité sophistiquée parrainée par un État, bien que l'attribution reste difficile. »
Perspectives d'investissement : la nouvelle réalité de la cybersécurité
Pour les investisseurs, l'intensification du paysage des menaces signale à la fois des défis et des opportunités. Le secteur de la cybersécurité pourrait connaître une croissance substantielle à mesure que les organisations réévaluent leurs postures défensives.
Les entreprises spécialisées dans l'architecture « zero-trust », qui part du principe d'une violation et vérifie chaque demande d'accès, pourraient en bénéficier considérablement. De même, les entreprises offrant des capacités avancées de détection et de réponse pourraient voir leur demande augmenter à mesure que les organisations reconnaissent que la prévention seule est insuffisante.
« Le marché récompensera probablement les entreprises capables de démontrer des résultats de sécurité concrets plutôt que de simples cases à cocher de conformité », a suggéré un stratège en investissement spécialisé dans le secteur technologique. « Nous sommes potentiellement face à un changement fondamental dans la manière dont la cybersécurité est budgétisée et mise en œuvre au sein des entreprises. »
Les acteurs établis dotés de plateformes de sécurité complètes pourraient gagner des parts de marché, tandis que les entreprises spécialisées abordant les vecteurs de menace émergents pourraient devenir des cibles d'acquisition. Les fournisseurs de sécurité cloud pourraient également en bénéficier à mesure que les avantages de sécurité des déploiements cloud deviennent plus évidents.
Cependant, les investisseurs doivent noter que les performances passées ne garantissent pas les résultats futurs et doivent consulter des conseillers financiers pour des conseils personnalisés avant de prendre des décisions d'investissement basées sur ces tendances.
La voie à suivre : une course à l'armement numérique
Alors que les organisations se précipitent pour corriger leurs serveurs SharePoint, le message plus large est clair : le paysage de la cybersécurité a fondamentalement changé. La sophistication, l'échelle et l'impact potentiel des attaques ont atteint des niveaux sans précédent.
« Nous ne parlons plus seulement de vol de données », a fait remarquer un expert en politique de cybersécurité. « Ces vulnérabilités pourraient potentiellement saper l'intégrité des systèmes critiques dont dépend notre société. Les enjeux ne pourraient être plus élevés. »
Pour les organisations utilisant des serveurs SharePoint, la priorité immédiate reste claire : appliquer sans délai les mises à jour de sécurité de Microsoft, ou isoler les systèmes vulnérables jusqu'à ce qu'ils puissent être corrigés. Au-delà de cela, un examen de sécurité approfondi – incluant la rotation des clés machine et des identifiants, et une surveillance accrue des points d'extrémité – est essentiel.
Alors que les agences gouvernementales et les organisations privées sont aux prises avec ce paysage de menaces en évolution, une chose est certaine : la course à l'armement numérique est entrée dans une phase nouvelle et plus dangereuse. La question n'est plus de savoir si les systèmes critiques seront ciblés, mais quand – et si les défenseurs seront préparés lorsque ce moment arrivera.