Une vague d’attaques ciblées sur SharePoint
Le 30 juillet 2025, Axios a révélé une série d’attaques de ransomware visant plus de 400 systèmes Microsoft SharePoint non corrigés aux États-Unis. Cette campagne malveillante serait potentiellement liée aux groupes de cybercriminels Warlock et Black Basta, déjà connus pour des actions similaires à grande échelle.
Ces attaques préoccupent particulièrement les agences gouvernementales locales et les structures publiques, notamment en raison de la persistance de vulnérabilités, même après l’application des correctifs officiels de Microsoft.
Les failles exploitées
Les attaquants exploitent une faille dans les versions obsolètes de SharePoint, leur permettant :
- D’accéder aux systèmes via des ports ouverts ou mal sécurisés ;
- D’installer un ransomware pour chiffrer les fichiers critiques ;
- De maintenir un accès sur les machines virtuelles, même après la mise à jour.
Cette capacité de persistance post-correctif rend les systèmes vulnérables même lorsqu’ils semblent protégés en apparence, ce qui complique la détection et l’éradication de la menace.
Profils des victimes
Les cibles identifiées sont principalement des entités publiques ou institutionnelles dotées de serveurs SharePoint en local. On observe notamment :
- Des municipalités et administrations locales ;
- Des établissements éducatifs et de santé ;
- Des agences étatiques ou sous-traitants gouvernementaux.
Le choix de SharePoint n’est pas anodin : ce logiciel centralise souvent des documents sensibles, des processus internes critiques et des données confidentielles.
Groupes en cause : Warlock et Black Basta
Les soupçons se portent sur les groupes Warlock et Black Basta, déjà associés à plusieurs campagnes de ransomware en 2023 et 2024. Leur méthode repose sur :
- Une première phase d’intrusion par phishing ou exploitation de failles ;
- Un déploiement silencieux du ransomware ;
- Une double extorsion, combinant chiffrement et vol de données.
Ces groupes utilisent des techniques avancées d’évasion, souvent dopées par l’intelligence artificielle, pour contourner les protections classiques des réseaux d’entreprise.
Recommandations de sécurité
Face à cette menace, les experts en cybersécurité recommandent les mesures suivantes :
- Appliquer tous les correctifs Microsoft sans délai ;
- Isoler les systèmes SharePoint vulnérables, y compris les VM ;
- Activer l’authentification multifacteur (MFA) pour tous les accès administratifs ;
- Effectuer des sauvegardes hors ligne régulières et tester leur restauration ;
- Déployer des outils de surveillance comportementale (EDR/XDR) pour détecter les activités suspectes.
Pourquoi cette attaque est préoccupante
L’exploitation de SharePoint montre que les cybercriminels ciblent désormais les outils collaboratifs, souvent considérés comme des éléments périphériques de l’infrastructure. Pourtant, leur compromission permet un accès à l’ensemble du système d’information.
L’autre point inquiétant est la capacité des groupes impliqués à maintenir un accès après correction, ce qui remet en question l’efficacité des stratégies de remédiation actuelles, en particulier dans les environnements virtualisés.
