Les pirates derrière la vague initiale d’exploitation des attaques un jour zéro dans les serveurs de Microsoft SharePoint ont jusqu’à présent les principales organisations gouvernementales ciblées, selon les chercheurs ainsi que les reportages.
Au cours du week-end, l’agence américaine de cybersécurité CISA a publié une alerte, avertissant que les pirates exploitaient un bogue auparavant inconnu comme un «zéro-day» – dans le produit de gestion des données d’entreprise de Microsoft. Bien qu’il soit encore tôt pour tirer des conclusions définitives, il semble que les pirates qui ont commencé à abuser de cette faille visaient l’organisation gouvernementale, selon Silas Cutler, le principal chercheur de Censys, une entreprise de cybersécurité qui surveille le piratage activé sur Internet.
« Il semble que l’exploitation initiale était contre un ensemble étroit de cibles », a déclaré Cutler à TechCrunch. «Le gouvernement probable lié au gouvernement».
« Il s’agit d’un cas assez rapide. Le fonctionnement initial de cette vulnérabilité était probablement assez limité en termes de ciblage, mais plus d’attaquants apprennent à reproduire l’exploitation, nous verrons probablement les violations à la suite de cet incident », a déclaré Cutler.
Contact américain
Avez-vous plus d’informations sur ces attaques SharePoint? Nous serions ravis de vous entendre. À partir d’un dispositif et d’un réseau sans travail, vous pouvez contacter Lorenzo Franceschi-Bicchiera en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail.
Maintenant que la vulnérabilité est là-bas, et n’est toujours pas entièrement corrigée par Microsoft, il est possible d’autres pirates qui ne sont pas nécessaires.
Cutler a ajouté que lui et ses collègues constatent entre 9 000 et 10 000 instances vulnérables accessibles à SharePoint sur Internet, mais que cela pourrait changer. La sécurité oculaire, qui a publié pour la première fois l’existence du bogue, a déclaré avoir vu un nombre similaire, affirmant que ses chercheurs ont numérisé plus de 8 000 serveurs SharePoint dans le monde et ont trouvé des preuves de dizaines de serveurs compromis.
Compte tenu du nombre limité d’objectifs et des types de cibles au début de la campagne, a expliqué Cutler, c’est comme si les pirates faisaient partie d’un groupe gouvernemental, communément appelé menace persistante avancée.
Événement TechCrunch
San Francisco
|
27-29 octobre 2025
Le Washington Post rapporte dimanche que les attaques ont ciblé les agences fédérales et étatiques américaines, ainsi que les universités et les sociétés énergétiques, entre autres cibles commerciales.
Microsoft a déclaré dans un article de blog que la vulnérabilité n’affecte que les versions de SharePoint qui s’installent sur les réseaux de localisation, et non les versions cloud, ce qui signifie que chaque organisation qui déploie un serveur SharePoint doit appliquer le correctif ou la déconnecter d’Internet.
