L’entreprise néerlandaise de cybersécurité Eye Security met en garde contre l’exploitation massive de vulnérabilités dans Microsoft SharePoint. L’application de correctifs ne s’avère pas toujours être la solution.
Une récente faille de sécurité dans Microsoft SharePoint a été exploitée mondialement pour mener des attaques ciblées. C’est ce que révèle une étude de l’entreprise néerlandaise de cybersécurité Eye Security, qui a identifié 396 systèmes compromis répartis dans 41 pays et touchant au moins 145 entreprises. Eye Security a découvert la faille zero-day aux alentours du 18 juillet.
Les vulnérabilités, désignées comme CVE-2025-53770 et -53771, ont été attribuées par Microsoft à des groupes ayant des liens présumés avec la Chine. Depuis, la faille a été plus largement exploitée, y compris par des cybercriminels ayant d’autres motivations comme le gain financier.
Attaques ciblées
Après la découverte de la faille, Eye Security a effectué un scan à grande échelle de plus de 27 000 serveurs SharePoint. Il en ressort que les institutions gouvernementales (30 %) et les organisations éducatives (13 %) étaient particulièrement visées. Ces secteurs sont souvent la cible d’acteurs ayant des objectifs d’espionnage. En dehors des secteurs gouvernemental et éducatif, les fournisseurs SaaS, les entreprises de télécommunications et les gestionnaires d’énergie ont également été touchés par des infections.
Selon l’expert d’Eye Security Lodi Hensen, il ne s’agit pas d’attaques « opportunistes ». « Les attaquants savaient exactement ce qu’ils cherchaient », selon Hensen.
Maurice
La majorité des attaques confirmées ont eu lieu aux États-Unis (18 %), mais une grande partie des attaques se produit en Europe. L’Allemagne (7 %), la France (5 %) et les Pays-Bas (4 %) font partie des pays les plus touchés. L’île Maurice (8 %) figure également en bonne position sur la liste : l’île tropicale s’avère être une destination populaire pour les serveurs SharePoint.
Les chiffres d’Eye Security ne révèlent pas immédiatement si des entreprises belges figurent parmi les victimes. Nous avons demandé plus d’informations à ce sujet à l’entreprise. Le CCB tente d’évaluer l’ampleur de la faille SharePoint. Étant donné que la plupart des entreprises belges utilisent SharePoint via le cloud, l’impact serait plutôt limité en Belgique.
L’analyse montre que plusieurs acteurs malveillants ont utilisé différentes méthodes d’attaque. Le code malveillant qui est diffusé peut varier d’une campagne à l’autre. Cela indique plusieurs attaques parallèles.
Le correctif ne suffit pas
Microsoft a entre-temps publié des mises à jour de sécurité, mais cela n’a pas encore permis de stabiliser immédiatement le nombre de serveurs touchés. Selon Eye Security, cela signifie que de nombreux systèmes n’ont pas été corrigés à temps, ou que les attaquants avaient déjà obtenu un accès prolongé. Une fois que les attaquants sont entrés, un correctif n’est rien de plus qu’un pansement sur une plaie ouverte.
lire aussi
La cause de la faille SharePoint réside dans un correctif « incomplet » de Microsoft
La faille devrait servir d’avertissement aux organisations de taille moyenne qui courent un risque car elles ne disposent souvent pas d’une surveillance permanente. Se fier uniquement à Microsoft Defender ou se contenter d’appliquer des correctifs fait manquer des étapes cruciales dans le processus de récupération. La menace ne disparaît pas dès qu’un système est mis à jour, même si l’application rapide des correctifs est certainement une bonne habitude.
Selon Eye Security, le risque de rançongiciels et d’attaques de la chaîne d’approvisionnement reste élevé dans les semaines à venir. Il est conseillé aux organisations de vérifier si des attaquants sont déjà actifs dans le réseau – même après l’installation des mises à jour.