Une faille de sécurité exploitée par des groupes liés à la Chine place Microsoft au centre d’une nouvelle alerte mondiale en cybersécurité. Selon plusieurs sources, des centaines d’organisations auraient été ciblées via son logiciel SharePoint, ravivant les craintes face à des attaques étatiques de grande ampleur.
Une nouvelle campagne de cyberattaques vise Microsoft via une faille critique dans son logiciel SharePoint. Des groupes liés à l’État chinois sont soupçonnés d’en être les auteurs. Plusieurs centaines d’organisations à travers le monde pourraient avoir été ciblées, dans un contexte de tensions croissantes entre les grandes puissances numériques.
Voici ce qu’il faut savoir.
Pourquoi Microsoft est-il de nouveau au cœur d’une alerte mondiale en cybersécurité ?
Après l’exploitation d’une faille de sécurité par des groupes liés à la Chine, Microsoft se retrouve à nouveau dans la tourmente. Son logiciel de partage de fichiers SharePoint, dans sa version locale, est au centre d’une série d’attaques qui soulèvent de vives inquiétudes. Bien que ce type d’incident ne soit pas inédit, l’ampleur potentielle des cibles et la rapidité de l’exploitation suscitent une attention renforcée. L’entreprise néerlandaise Eye Security a révélé samedi plusieurs intrusions, poussant Microsoft à officialiser l’existence de la vulnérabilité le jour même.
Quelles organisations ont été ciblées ?
Selon Eye Security, plus de 400 systèmes ont été activement compromis au cours de quatre vagues d’attaques confirmées. Bloomberg indique que des organisations gouvernementales en Europe, au Moyen-Orient et aux États-Unis — y compris l’Agence américaine pour la sécurité nucléaire (NNSA) — ont été visées. Microsoft précise que seules les versions locales de SharePoint sont concernées. L’entreprise Palo Alto Networks alerte : les administrations publiques, les hôpitaux, les écoles ou encore les grandes entreprises sont confrontées à un « risque immédiat »
Quels groupes sont à l’origine des attaques ?
Trois groupes ont été identifiés par Microsoft comme auteurs présumés. Linen Typhoon et Violet Typhoon sont décrits comme des entités liées à l’État chinois, tandis que Storm-2603 est considéré comme un groupe chinois avec un niveau de certitude modéré. Les deux premiers sont actifs depuis plus d’une décennie, avec des antécédents dans l’espionnage et le vol de propriété intellectuelle. Microsoft avertit que d’autres acteurs malveillants pourraient exploiter la même faille sur des serveurs non mis à jour. Le chercheur en cybersécurité Damien Bancal a d’ailleurs identifié la publication d’un code prêt à l’emploi sur un site bien connu
Pourquoi les produits Microsoft sont-ils une cible stratégique ?
Avec une base installée mondiale, notamment dans des secteurs critiques, Microsoft est une cible privilégiée. En 2021, le groupe chinois Silk Typhoon avait déjà compromis des dizaines de milliers de serveurs Exchange. Les logiciels de Microsoft stockent souvent des données sensibles, comme l’explique Shane Barney (Keeper) : documents stratégiques, propriétés intellectuelles, communications internes. Pour Rodrigue Le Bayon (Orange Cyberdefense), les attaques visent les clients de Microsoft avant tout : « Le logiciel est un vecteur ; demain, cela pourrait être une autre plateforme. »
Quel rôle joue la Chine dans cette campagne ?
Si les cyberattaques ne sont pas l’apanage de la Chine, cette dernière est fréquemment pointée du doigt par les autorités et entreprises occidentales. En 2024, plusieurs États avaient déjà accusé des groupes affiliés à Pékin d’organiser une campagne mondiale de cyberespionnage ciblant des opposants, des institutions démocratiques et des entreprises sensibles. L’arsenal offensif numérique chinois reste sous étroite surveillance internationale.