L'agence américaine chargée des armes nucléaires figure parmi les 400 organisations compromises par les pirates informatiques chinois qui ont exploité une faille zero-day critique affectant Microsoft SharePoint

L'agence américaine chargée des armes nucléaires figure parmi les 400 organisations compromises par les pirates informatiques chinois qui ont exploité une faille zero-day critique affectant Microsoft SharePoint

Microsoft a révélé que des pirates informatiques chinois ont exploité avec succès une vulnérabilité zero-day critique touchant sa plateforme populaire SharePoint. Les rapports font état d'attaques coordonnées visant les serveurs SharePoint à l'échelle mondiale. Les pirates auraient compromis environ 400 organisations, dont l'agence américaine chargée de l'armement nucléaire. Les experts en sécurité indiquent que ce nombre pourrait augmenter au fur et à mesure que l'enquête avance. Cette attaque fait suite à l'intrusion profonde de Salt Typhoon dans le réseau de la Garde nationale d'un État américain, qui a compromis toutes les forces américaines.

Un vent de panique souffle sur les infrastructures informatiques mondiales après le rapport de Microsoft sur le piratage de son logiciel SharePoint. SharePoint est essentiellement un système de gestion de contenu d'entreprise qui permet aux équipes de partager et de gérer des documents et des informations de manière efficace. Cela inclut le stockage, la gestion des documents et les flux de travail, ainsi que la collaboration en temps réel sur des projets.

D'après Microsoft, des acteurs malveillants chinois, notamment des pirates informatiques affiliés à l'État, ont exploité une faille zero-day dans SharePoint. Des recherches indiquent que plusieurs centaines d'agences gouvernementales et d'organisations ont été piratées à travers le monde. « Les pirates informatiques ont déjà piraté 400 agences, entreprises et autres groupes », a déclaré la société néerlandaise de cybersécurité Eye Security dans un rapport.

« Nous pensons que ce nombre pourrait continuer à augmenter à mesure que l'enquête progresse », ajoute-t-elle. Eye Security rapporte que la majorité des victimes se trouvent aux États-Unis, tandis que Bloomberg a rapporté que l'agence américaine chargée de superviser les armes nucléaires (National Nuclear Security Administration) figurait parmi les victimes. Une source anonyme a déclaré à la publication qu'aucune information sensible n'a été volée.

« Le vendredi 18 juillet, l'exploitation d'une vulnérabilité zero-day de Microsoft SharePoint a commencé à affecter le département de l'Énergie. Le département a été très peu affecté grâce à son utilisation généralisée du cloud Microsoft 365 et à ses systèmes de cybersécurité très performants. Seul un très petit nombre de systèmes a été touché. Tous les systèmes affectés sont en cours de restauration », a déclaré un porte-parole du ministère de l'Énergie.

Microsoft a déclaré avoir observé trois groupes – Linen Typhoon et Violet Typhoon, soutenus par l'État chinois, et Storm-2603, qui serait basé en Chine – utilisant « des failles de sécurité récemment révélées » pour cibler les serveurs connectés à Internet hébergeant la plateforme.

Microsoft SharePoint touché par une faille critique de gravité de 9,8 sur 10

Selon Microsoft, une faille critique de type zero-day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.


Les attaques exploitant cette faille ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells Web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, comme les clés de machine ASP.NET, qui pourraient permettre d'autres attaques (falsification de jetons d'authentification, accès persistant...).

Qualifiés de zero-day parce qu'ils exploitent une faiblesse numérique non divulguée auparavant, ces piratages permettent aux acteurs de la menace de pénétrer dans des serveurs vulnérables et de déposer potentiellement une porte dérobée afin de garantir un accès continu aux organisations victimes.

Le FBI a déclaré le 20 juillet qu'il est au courant des attaques et qu'il travaille en étroite collaboration avec ses partenaires fédéraux et privés, sans donner d'autres détails. Le Centre national de cybersécurité britannique a déclaré dans un communiqué qu'il a connaissance d'un nombre limité de cibles au Royaume-Uni. Un chercheur qui suit la campagne a déclaré qu'elle semblait viser initialement un nombre restreint d'organisations liées au gouvernement.

« L'incident SharePoint semble avoir créé un large niveau de compromission sur toute une série de serveurs dans le monde entier », a déclaré Daniel Card, de la société britannique de conseil en cybersécurité PwnDefend. « Il est sage d'adopter une approche fondée sur l'hypothèse d'une violation, et il est également important de comprendre que l'application d'un correctif n'est pas la seule chose à faire dans ce cas ». Microsoft appelle à installer les correctifs.

Microsoft alerte les clients sur les risques associés aux serveurs vulnérables

Selon Adam Meyers, vice-président senior de CrowdStrike, les violations liées à l'exploitation de la faille touchant SharePoint sont en cours depuis au moins le 7 juillet 2025. « Les premières exploitations ressemblaient à des activités parrainées par le gouvernement, puis se sont étendues à des piratages qui ressemblent à ceux de la Chine », a déclaré Adam Meyers à Bloomberg News. L'enquête de CrowdStrike sur cette campagne est toujours en cours.

Dans son article de blogue, Microsoft a déclaré avoir identifié deux organisations cybercriminelles réputées, Linen Typhoon et Violet Typhoon (tous deux soutenus par l'État chinois), utilisant les vulnérabilités de sécurité critiques récemment révélées pour cibler les serveurs connectés à Internet hébergeant SharePoint. Le géant de technologie a également mentionné Storm-2603, un groupe de pirates informatiques qui seraient également basés en Chine.

Microsoft affirme avoir une « confiance moyenne » dans le fait que le groupe de pirates informatiques Storm-2603 soit basé en Chine, mais précise qu'il n'a pas établi de liens entre ce groupe et d'autres acteurs malveillants chinois. Le géant de Redmond a averti ses clients que d'autres acteurs malveillants pourraient également cibler les systèmes SharePoint sur site afin d'exploiter leurs vulnérabilités si les mises à jour de sécurité n'ont pas été installées.

Selon Microsoft, ces clients risquent de voir leurs données compromises par les acteurs malveillants. Parmi les victimes de cette attaque figurent le ministère américain de l'Éducation, la NSA, le ministère du Revenu de Floride et l'Assemblée générale du Rhode Island, qui est l'organe législatif de l'État océanique. Sur le plan international, des gouvernements en Europe, en Afrique et au Moyen-Orient ont également été visés par les acteurs de la menace.

Eye Security a déclaré dans un communiqué de presse avoir détecté une « activité inhabituelle » sur le serveur SharePoint local d'un client dans la soirée du 18 juillet. La société a ajouté avoir ensuite analysé plus de 8 000 serveurs SharePoint accessibles au public à travers le monde et identifié des dizaines de systèmes compromis, confirmant que les pirates mènent une campagne d'exploitation massive coordonnée. Les investigations se poursuivent.

Les États-Unis sont confrontés à une vague de cyberattaques majeures

Un rapport du département américain de la Défense (DOD) révèle que le groupe de cyberespionnage Salt Typhoon a pénétré dans le réseau de la Garde nationale d'un État américain. L'intrusion a duré neuf mois, ce qui a permis au groupe d'accéder à des données militaires et policières sensibles. Un expert a averti : « à l'avenir, toutes les forces armées américaines doivent désormais partir du principe que leurs réseaux sont compromis et seront dégradés ».


Salt Typhoon illustre les risques liés aux portes dérobées intégrées volontairement aux systèmes chiffrés et démontre pourquoi elles ne doivent jamais être autorisées. La manière dont la violation s'est produite n'a pas été évoquée, mais le rapport a souligné que Salt Typhoon est connu pour exploiter les vulnérabilités existantes (CVE) des routeurs Cisco et du matériel similaire. Ces appareils sont souvent accusés d'intégrer des portes dérobées.

Salt Typhoon est un acteur de menace persistante avancé. Les experts en cybersécurité occidentaux soupçonnent le groupe d'être dirigé par le ministère chinois de la Sécurité d'État (MSS). Salt Typhoon se spécialise dans l'espionnage informatique, en particulier contre des cibles aux États-Unis, comme : des agences gouvernementales, des infrastructures critiques (réseaux électriques, transports...), des entités militaires, des entreprises technologiques, etc.

Il a mené des attaques d'envergure contre les États-Unis. Ces dernières années, Salt Typhoon a infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et des politiciens comme Donald Trump et Kamala Harris.

Selon le rapport, Salt Typhoon a collecté la configuration du réseau compromis et son trafic de données avec les réseaux de ses homologues dans tous les autres États américains et dans au moins quatre territoires américains. Les données collectées comprenaient également les identifiants des administrateurs de ces réseaux et les schémas des réseaux, qui pourraient être utilisés pour faciliter les piratages ultérieurs de ces unités par Salt Typhoon.

Le rapport indique que « le succès de Salt Typhoon dans la compromission des réseaux de la Garde nationale de l'armée à l'échelle nationale pourrait compromettre les efforts locaux en matière de cybersécurité visant à protéger les infrastructures critiques », en partie parce que « ces unités sont souvent intégrées aux centres de fusion des États chargés de partager les informations sur les menaces, y compris les cybermenaces ». Le risque est donc énorme.

Conclusion

Les États-Unis sont confrontés à des cyberattaques dévastatrices depuis quelques années, avec le piratage de SolarWinds en 2020 et celui qui a visé Colonial Pipeline en 2021. Ces attaques ont révélé les faiblesses des certaines infrastructures critiques et vitales des États-Unis. Les défenses cybernétiques du pays sont mises à rude épreuve. Aujourd'hui, les experts en cybersécurité expriment leur profonde inquiétude quant à la gravité de la menace ToolShell.

Michael Sikorski, directeur technique et responsable du renseignement sur les menaces pour l'unité 42 chez Palo Alto Networks, a décrit la situation comme « une menace très grave et très urgente ». Il a notamment souligné les risques posés par l'intégration profonde de SharePoint dans l'écosystème Microsoft, qui comprend des services populaires comme Office, Teams, OneDrive et Outlook, tous contenant des données précieuses pour les pirates.

Pourtant, l'équipe Trump a démantelé systématiquement plusieurs organes consultatifs essentiels en matière de cybersécurité. En particulier, le Cyber Safety Review Board (CSRB), créé sous l'administration Biden pour enquêter sur les incidents cybernétiques majeurs, a été dissous en mettant fin aux fonctions de tous ses membres. Cette décision a interrompu les enquêtes sur les cyberattaques importantes, notamment les piratages chinois Salt Typhoon.

Depuis que la nouvelle administration est entrée en fonction en janvier 2025, des centaines de cadres clés liés aux programmes de défense cybernétique des États-Unis ont été licenciés et des agences dédiées à la cybersécurité ont été entièrement dissoutes. Les experts avaient tiré la sonnette d'alarme.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la vague d'attaques contre les serveurs SharePoint à l'échelle mondiale ?
SharePoint est profondément intégré dans l'écosystème Microsoft. Quels sont les risques pour les clients ?
Que pensez-vous des cyberattaques qui ont visé les installations critiques des États-Unis et leurs entreprises ces dernières années ?
L'administration Trump procède à des coupes dans les programmes de cybersécurité malgré l'augmentation des menaces. Qu'en pensez-vous ?

Voir aussi

ToolShell : une faille zero day critique affectant Microsoft SharePoint exploitée à l'échelle mondiale, permettant aux pirates de voler des informations d'identification pour un accès privilégié et persistant

« Toutes les forces américaines doivent désormais supposer que leurs réseaux sont compromis », avertit un expert après que Salt Typhoon a infiltré le réseau de la Garde nationale d'un État américain

Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms, démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées