L'agence américaine chargée des armes nucléaires figure parmi les 400 organisations compromises par les pirates informatiques chinois qui ont exploité une faille zero-day critique affectant Microsoft SharePoint

Microsoft a révélé que des pirates informatiques chinois ont exploité avec succès une vulnérabilité zero-day critique touchant sa plateforme populaire SharePoint. Les rapports font état d'attaques coordonnées visant les serveurs SharePoint à l'échelle mondiale. Les pirates auraient compromis environ 400 organisations, dont l'agence américaine chargée de l'armement nucléaire. Les experts en sécurité indiquent que ce nombre pourrait augmenter au fur et à mesure que l'enquête avance. Cette attaque fait suite à l'intrusion profonde de Salt Typhoon dans le réseau de la Garde nationale d'un État américain, qui a compromis toutes les forces américaines.

Un vent de panique souffle sur les infrastructures informatiques mondiales après le rapport de Microsoft sur le piratage de son logiciel SharePoint. SharePoint est essentiellement un système de gestion de contenu d'entreprise qui permet aux équipes de partager et de gérer des documents et des informations de manière efficace. Cela inclut le stockage, la gestion des documents et les flux de travail, ainsi que la collaboration en temps réel sur des projets.

D'après Microsoft, des acteurs malveillants chinois, notamment des pirates informatiques affiliés à l'État, ont exploité une faille zero-day dans SharePoint. Des recherches indiquent que plusieurs centaines d'agences gouvernementales et d'organisations ont été piratées à travers le monde. « Les pirates informatiques ont déjà piraté 400 agences, entreprises et autres groupes », a déclaré la société néerlandaise de cybersécurité Eye Security dans un rapport.

« Nous pensons que ce nombre pourrait continuer à augmenter à mesure que l'enquête progresse », ajoute-t-elle. Eye Security rapporte que la majorité des victimes se trouvent aux États-Unis, tandis que Bloomberg a rapporté que l'agence américaine chargée de superviser les armes nucléaires (National Nuclear Security Administration) figurait parmi les victimes. Une source anonyme a déclaré à la publication qu'aucune information sensible n'a été volée.

« Le vendredi 18 juillet, l'exploitation d'une vulnérabilité zero-day de Microsoft SharePoint a commencé à affecter le département de l'Énergie. Le département a été très peu affecté grâce à son utilisation généralisée du cloud Microsoft 365 et à ses systèmes de cybersécurité très performants. Seul un très petit nombre de systèmes a été touché. Tous les systèmes affectés sont en cours de restauration », a déclaré un porte-parole du ministère de l'Énergie.

Microsoft a déclaré avoir observé trois groupes – Linen Typhoon et Violet Typhoon, soutenus par l'État chinois, et Storm-2603, qui serait basé en Chine – utilisant « des failles de sécurité récemment révélées » pour cibler les serveurs connectés à Internet hébergeant la plateforme.

Microsoft SharePoint touché par une faille critique de gravité de 9,8 sur 10

Selon Microsoft, une faille critique de type zero-day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.


Les attaques exploitant cette faille ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells Web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, comme les clés de machine ASP.NET, qui pourraient permettre d'autres attaques (falsification de jetons d'authentification, accès persistant...).

Qualifiés de zero-day parce qu'ils exploitent une faiblesse numérique non divulguée auparavant, ces piratages permettent aux acteurs de la menace de pénétrer dans des serveurs vulnérables et de déposer potentiellement une porte dérobée afin de garantir un accès continu aux organisations victimes.

Le FBI a déclaré le 20 juillet qu'il est au courant des attaques et qu'il travaille en étroite collaboration avec ses partenaires fédéraux et privés, sans donner d'autres détails. Le Centre national de cybersécurité britannique a déclaré dans un communiqué qu'il a connaissance d'un nombre limité de cibles au Royaume-Uni. Un chercheur qui suit la campagne a déclaré qu'elle semblait viser initialement un nombre restreint d'organisations liées au gouvernement.

« L'incident SharePoint semble avoir créé un large niveau de compromission sur toute une série de serveurs dans le monde entier », a déclaré Daniel Card, de la société britannique de conseil en cybersécurité PwnDefend. « Il est sage d'adopter une approche fondée sur l'hypothèse d'une violation, et il est également important de comprendre que l'application d'un correctif n'est pas la seule chose à faire dans ce cas ». Microsoft appelle à installer les correctifs.

Microsoft alerte les clients sur les risques associés aux serveurs vulnérables

Selon Adam Meyers, vice-président senior de CrowdStrike, les violations liées à l'exploitation de la faille touchant SharePoint sont en cours depuis au moins le 7 juillet 2025. « Les...