Une faille exploitée en quelques jours, des centaines de victimes confirmées
Le 19 juillet 2025, Microsoft a officialisé une faille critique affectant ses serveurs SharePoint locaux. En moins d’une semaine, plus de 400 systèmes dans le monde ont été compromis.
Depuis plusieurs mois, des groupes liés à la Chine surveillaient discrètement les serveurs non mis à jour. Leur objectif : infiltrer des réseaux stratégiques, notamment gouvernementaux.
Trois groupes organisés derrière l’attaque mondiale
Les groupes Linen Typhoon, Violet Typhoon — deux acteurs affiliés à Pékin — et Storm-2603, basé en Chine, ont ciblé une vulnérabilité dans les serveurs SharePoint utilisés pour le partage de fichiers.
Cette faille permettait de dérober identifiants, mots de passe et jetons d’accès, tout en contournant les systèmes de détection. Les versions cloud de SharePoint, elles, n’ont pas été affectées.
Espionnage, rançongiciels et accès permanent
L’attaque ne s’est pas limitée à de l’espionnage. Sur certains serveurs, des rançongiciels ont également été installés. Les données volées — identifiants principalement — pourraient permettre de futures intrusions à long terme.
Selon Eye Security, les jetons d’authentification volés avant le correctif restent valides tant que les accès ne sont pas réinitialisés.
Des cibles civiles et militaires, partout dans le monde
Parmi les victimes : la National Nuclear Security Administration (NNSA), chargée de l’arsenal nucléaire américain. Mais aussi des hôpitaux, écoles, administrations et entreprises privées.
Les zones touchées incluent l’Europe, le Moyen-Orient et l’Amérique du Nord. L’ampleur suggère une opération coordonnée de longue date.
Microsoft publie un correctif en urgence
Face à la menace, Microsoft a diffusé une mise à jour de sécurité le 20 juillet 2025. Les entreprises utilisatrices de SharePoint sont invitées à appliquer immédiatement le correctif.
Mais la firme prévient : cela ne suffit pas. Les identifiants déjà compromis doivent être changés, et les accès internes revus.
Pékin nie, mais les soupçons persistent
La Chine réfute toute implication. Pourtant, ces groupes opèrent régulièrement pour son compte selon plusieurs agences de renseignement occidentales.
L’opération actuelle s’inscrit dans une série d’attaques ciblées contre des logiciels Microsoft, dont les retombées géopolitiques sont importantes.
L’alerte est maximale dans les systèmes critiques
Jusqu’ici, aucun document classifié ne semble avoir fuité. La protection renforcée des environnements cloud a contenu les effets.
Mais la dépendance aux serveurs locaux et leur relative vulnérabilité inquiètent les experts.
Une faille déjà exploitée publiquement
Des outils automatisés pour exploiter la faille circulent désormais en ligne. Le risque d’attaques opportunistes augmente, y compris par des groupes sans lien avec les auteurs d’origine.
Les administrateurs IT sont sommés d’agir sans délai.
Un cas d’école de cyberespionnage étatique
Cette attaque révèle la fragilité d’une partie des infrastructures numériques critiques. Elle met aussi en lumière la sophistication croissante des opérations menées dans le cyberespace.
La surveillance des accès, la gestion des identifiants, et la migration vers des solutions plus sécurisées deviennent prioritaires.
