L’attaque SharePoint : ce qu’il s’est passé et en quoi c’est préoccupant
En juillet 2025, une campagne d’exploitation d’une vulnérabilité critique encore inconnue affectant des serveurs SharePoint sur sites (on-premises) a été découverte. Selon les experts en cybersécurité, elle a été menée par un groupe de pirates encore non identifié, utilisant une suite d’outils appelée ToolShell pour prendre le contrôle complet des serveurs SharePoint, à voler des clés cryptographiques sensibles (machine keys) et à rester cachés dans les systèmes, parfois même après que les premières mises à jour de sécurité aient été installées.
Les premières intrusions remontent au début de juillet et la découverte à grande échelle a été signalée autour du 18 juillet.
Cette campagne a touché plusieurs centaines d’organisations dans le monde, y compris des administrations américaines sensibles dont la National Nuclear Security Administration, l’agence Américaine en charge de la surveillance des armes nucléaires.
Pourquoi c’est grave ?
SharePoint est souvent le coffre-fort documentaire central d’une organisation. Il est relié à des services comme Teams, OneDrive et des annuaires internes. Une compromission de SharePoint peut donc permettre de lire et modifier des documents sensibles, d’usurper des services, et de s’étendre latéralement dans le réseau.
Cette attaque montre à quel point une faille inconnue peut offrir un terrain d’action idéal aux cybercriminels, autrement dit, ce que l’on appelle une attaque zero-day, et qui représente un risque très difficile à anticiper.
Qu’est-ce qu’une vulnérabilité zero-day et quels sont les risques pour les entreprises ?
Définition
Une vulnérabilité zero-day est une faille de sécurité inconnue de ses développeurs ou de toute personne capable de l’atténuer. Jusqu’à ce que la vulnérabilité soit corrigée, les acteurs malveillants peuvent l’exploiter afin de réaliser des attaques appelées « attaques zero-day ».
Ce qui rend une zero-day particulièrement dangereuse :
- Absence de patch immédiat : les entreprises affectées n’ont pas de parades immédiates.
- Exploitation silencieuse : ces failles passent souvent inaperçues, donnant aux pirates un avantage stratégique pour étendre leur présence sans être détectés.
- Rendement élevé pour l’attaquant : une seule faille dans un composant largement déployé (SharePoint, bibliothèques open source, CI/CD, etc.) peu permettre d’atteindre des centaines d’organisations.
Dans le cas SharePoint, tout cela s’est matérialisé : exploitation active, exfiltration de clés et propagation vers des ressources connectées ce qui a permis de mener une opération d’espionnage et de sabotage à grande échelle.
Comment se défendre contre une vulnérabilité inconnue (zero-day) ?
Se protéger contre une vulnérabilité inconnue, ou zero-day, est un vrai défi. Par définition, cette faille n’a pas encore été documentée ni corrigée. Pourtant, il existe des solutions techniques pour limiter les risques, même si elles demandent du temps, des ressources et une expertise importante.
La première approche consiste à mettre en place une défense en profondeur. Cela inclut la segmentation du réseau pour limiter la propagation d’une attaque, la configuration stricte des pares-feux, la limitation des droits utilisateurs et une surveillance continue des journaux d’activité. Même si la vulnérabilité existe, ces couches de sécurité peuvent ralentir ou bloquer l’exploitation.
Ensuite, des solutions de détection avancées peuvent aider à repérer une exploitation. Des outils comme les EDR/XDR (détection et réponse sur les endpoints) ou les SIEM (analyse centralisée des événements) surveillent les comportements anormaux et les activités suspectes.
Il est également nécessaire de maintenir les systèmes à jour pour réduire la surface d’attaque et éliminer d’autres vulnérabilités qui pourraient être exploitées conjointement avec une zero-day. Des environnements isolés peuvent également être utilisés pour tester des comportements suspects sans risquer l’ensemble du système.
Toutes ces mesures demandent cependant une expertise technique pointue et un suivi constant. Pour de nombreuses organisations, faire appel à des entreprises spécialisées en cybersécurité reste la solution la plus efficace. Ces experts peuvent prendre en charge la surveillance du réseau (MSSP), détecter les failles avant que les attaquants ne les exploitent (pentest), intervenir rapidement en cas d’incident (CSIRT / CERT), et fournir des renseignements sur les menaces émergentes (Threat Intelligence). Leur intervention permet de détecter plus rapidement les attaques, de réagir efficacement, et de renforcer durablement la sécurité, même face à des menaces inconnues.
Ce qu’il faut retenir :
L’attaque SharePoint de juillet 2025 montre bien à quel point les vulnérabilités zero-day peuvent être dangereuses : elles donnent aux pirates un accès difficile à détecter et qui peut causer beaucoup de dégâts. Même s’il est impossible de se protéger complètement contre des failles encore inconnues, on peut réduire fortement les risques en mettant en place une défense en profondeur, en utilisant des outils de détection avancés, en limitant les droits des utilisateurs et en maintenant les systèmes à jour.
Pour les organisations qui n’ont pas les ressources et l’expertise nécessaire, faire appel à des spécialistes en cybersécurité reste la meilleure solution pour se préparer et réagir rapidement.